SmartWAN Overview
SmartWAN
- SKT 기준 SmartWAN, AppEx 기준 CloudWAN, LightWAN기준 LightWAN으로 명명된다.
- 01. 백서
- 02. Datasheet 및 조견표
- 03. Manual
- 04. Marketing Docs
- 05. Markov(ProactiveXDR) Key Features
- Introduction
- Cloud Security Posture Management
- GRC Assessment and Evidence Management
- Network Flow Information Collection and Analysis
- Security Configuration Assessment
- Security Events Collection and Analysis
- Topics to discuss [NDA]
- Vulnerability Management
- 06. SmartWAN Portal
01. 백서
SmartWAN 가속 암호 터널: RTT Whitepaper
RTT 백서
SKTelecom
목차
- SmartWAN이 RTT 터널링을 개발한 이유
1.1 우수한 네트워크 전송 효율성 확보
1.2 진정한 글로벌 네트워크 커버리지 달성
1.3 데이터 전송 보안 보장
1.4 애플리케이션 중단 없이 경로 원활하게 전환
1.5 고성능 및 저성능 장비 모두에 적응 - RTT 전송 최적화 2.1 프로토콜 최적화 2.2 멀티 전송 및 선택적 수신
- RTT 전송 보안
- RTT 원활한 경로 전환
- RTT 이식성, 호환성
Realtime TCP Tunnel(RTT)은 터널링 프로토콜 기술입니다. SKTelecom("SmartWAN")는 이 터널링 기술을 전 세계를 커버하는 자체 운영 SD-WAN 네트워크 서비스 플랫폼인 CloudWAN에 통합했습니다. 이 터널은 SD-WAN 오버레이 역할을 하며, 기업 고객의 오피스 애플리케이션 트래픽을 전달합니다.
1. SmartWAN이 RTT 터널링을 개발한 이유
업계의 대부분의 SD-WAN 제품은 일반적으로 IPSec, SSL, GRE 또는 VxLAN과 같은 기존 터널링 기술을 SD-WAN 오버레이 터널링으로 사용하는 반면, SmartWAN은 다음과 같은 이유로 RTT 터널링을 개발하기로 결정했습니다.
1.1 우수한 네트워크 전송 효율성 확보
일반적으로 네트워크 데이터 전송 효율이 높을수록 상위 계층 애플리케이션의 응답 효율성과 경험이 향상됩니다. 그러나 IPSec과 같은 기존 터널링 기술은 특히 원격 또는 국경 간 전송 시나리오에서 낮은 전송 효율성과 불안정성 문제를 가지고 있어 사용자 경험이 저하됩니다. 다양한 복잡한 네트워크 환경에서 기업 고객에게 최상의 전송 품질을 제공하기 위해 SmartWAN은 기존 터널링 기술을 포기하고 대신 ZetaTCP® WAN 최적화 특허 기술과 멀티 전송 및 선택적 수신 최적화 기술을 결합한 RTT 터널링 기술을 선택하여 최고의 전송 효율성을 제공합니다.
1.2 진정한 글로벌 네트워크 커버리지 달성
글로벌 SD-WAN 백본을 구축하기 위해서는 사용 가능한 링크 리소스, 링크 품질 및 대역폭 비용 간의 균형을 맞추는 것이 필요합니다. 일반적으로 선진 지역에는 선택할 수 있는 고품질 전용 링크 리소스가 더 많고 대역폭 비용이 낮습니다. 반면 저개발 지역에는 링크 리소스와 고품질 전용 링크 리소스가 더 적습니다. 이러한 지역에서 고품질 전용 링크를 추구하면 매우 높은 대역폭 비용이 발생하며, 이는 결국 SD-WAN 서비스를 사용하는 기업 고객에게 전가됩니다. 극도로 저개발된 일부 지역에서는 고품질 전용 라인 리소스를 전혀 사용할 수 없어 기업 고객에게 고품질 SD-WAN 백본 액세스 서비스를 제공하는 것이 어려울 수 있습니다.
최고의 전송 능력을 갖춘 RTT 터널은 이러한 문제에 대한 SmartWAN의 해결책의 핵심입니다. 고품질 전용 링크 리소스가 없거나 매우 비싼 링크가 있는 저개발 지역의 경우, RTT 터널의 탁월한 전송 기능을 통해 SmartWAN은 중간 품질 및 저비용 전용 또는 인터넷 링크를 사용하여 백본 네트워크를 구축하면서도 기업 애플리케이션의 품질 요구 사항을 충족할 수 있습니다. 유선 링크 액세스를 사용할 수 없는 일부 사용 시나리오에서는 SmartWAN이 4G/5G 모바일 네트워크 및 위성 링크와 같은 리소스를 사용하여 기본 사용 요구 사항을 충족하는 백본 네트워크 액세스 서비스를 제공할 수도 있습니다.
RTT의 전송 기능을 통해 SmartWAN은 네트워크를 진정한 글로벌 도달 범위로 만듭니다.
1.3 데이터 전송 보안 보장
비용, 효율성, 유연성 등을 기반으로 한 전체 평가를 위해 기업 고객은 일반적으로 암호화된 터널링 기술을 사용하여 기존 인터넷 링크를 통해 SD-WAN 백본 네트워크 서비스에 액세스합니다. 기업 사무소 사이트가 기존 IPSec 터널링 기술을 사용하여 SD-WAN 백본 네트워크에 액세스하는 경우, IPSec 터널 내의 트래픽은 SD-WAN 백본 네트워크의 PoP 노드에 도달할 때 복호화되어야 합니다. 이는 터널 내에 캡슐화된 사용자 트래픽이 PoP 노드에서 라우팅되고 다음 홉 경로와 일치할 수 있도록 필요합니다. 다음 홉 경로가 결정되면 사용자 트래픽은 다음 터널에 다시 들어갑니다. 사용자 트래픽이 목적지에 도달하기 위해 여러 PoP 노드를 통과해야 할 때, 이 "복호화-암호화" 프로세스가 여러 번 발생합니다. (참고: 일부 서비스 제공자 방식에서는 경로 상의 두 백본 네트워크 PoP 노드 간 상호 연결에 전용 라인 리소스를 사용하는 경우 사용자 트래픽이 전용 라인을 통해 다음 PoP 노드로 직접 일반 텍스트로 이동합니다). 이 "복호화-암호화" 프로세스는 SD-WAN 백본 네트워크 서비스를 사용할 때 기업의 중요한 비즈니스 데이터가 유출되거나 변조될 위험을 크게 증가시킵니다.
이러한 위험을 제거하고 전송 중 기업 데이터의 보안을 보장하기 위해 SmartWAN은 자체 RTT 터널에 "엔드-투-엔드 암호화" 기술을 구현했습니다. RTT 터널의 기업 사용자 트래픽은 기업 사무실 네트워크에 배포된 CloudWAN CPE에 의해 암호화되며, 목적지 기업 사무실 네트워크에 배포된 CloudWAN CPE에 도달할 때까지 경로를 따라 CloudWAN PoP 노드에서 복호화가 필요하지 않습니다.
1.4 애플리케이션 중단 없이 경로 원활하게 전환
기업 고객 트래픽이 SD-WAN 백본 네트워크를 통해 흐르는 동안 경로 상의 PoP 노드가 높은 부하 또는 비정상적인 장애를 경험하여 사용자 트래픽이 중단될 수 있는 상황이 있을 수 있습니다. 기업 사무실 비즈니스의 정상적인 운영을 보장하기 위해 SD-WAN 스마트 경로 전환 기능은 일반적으로 기업 트래픽을 다른 사용 가능한 PoP 노드로 안내합니다. 그러나 경로 전환 과정에서 매우 짧은 시간 동안, 기존 IPSec 터널링 기술을 기반으로 한 SD-WAN 솔루션은 종종 현재 트래픽의 일시적인 중단을 발생시켜 사용자 비즈니스 중단(예: 화상 회의)과 사용자 경험에 영향을 미칩니다.
기존 터널링 기술의 이러한 문제점을 인식하여 SmartWAN은 RTT 터널링에 원활한 경로 전환을 구현하여 전송 경로 전환 과정에서 사용자 트래픽이 중단되지 않고 비즈니스에 영향을 미치지 않도록 하여 사용자에게 원활한 네트워크 경험을 제공합니다.
1.5 고성능 및 저성능 장비 모두에 적응
CloudWAN은 기업 사무실 시나리오에서 사용자에게 다양한 사용 옵션을 제공합니다. 사용자는 사무실 사이트에 CloudWAN CPE를 배포하여 CloudWAN 서비스에 액세스하거나, 모바일 사무실 시나리오를 위해 컴퓨터, 모바일 폰, 태블릿과 같은 스마트 단말기에 설치된 소프트웨어 클라이언트를 통해 서비스를 편리하게 활용할 수 있습니다. 또한 기업 클라우드 시나리오에서 CloudWAN은 사용자가 클라우드에 가상화된 CPE(vCPE)를 배포하여 서비스에 액세스할 수 있도록 합니다.
또한 기업 사무실 시나리오 외에도 CloudWAN의 시스템 설계는 산업 인터넷 및 산업용 IoT(IIoT) 시나리오에 대한 지원도 고려합니다. 그러나 산업 인터넷 및 IIoT 시나리오에서는 CPE, vCPE 및 소프트웨어 클라이언트가 종종 적용되지 않으며 CloudWAN 서비스는 임베디드 소프트웨어를 통해 배포해야 합니다.
이러한 다양한 유형의 시나리오에서는 CloudWAN이 터미널 측에서 고도로 적응 가능하고 유연한 배포 기능을 갖추어야 합니다. 이에 비해 IPSec과 같은 기존 기술을 사용하면 IPSec이 운영 체제(OS)에 대한 높은 요구 사항을 가지고 있어 다양한 실제 시나리오에 유연하게 적응하기 어려울 수 있습니다. RTT 터널링 기술은 설계 단계에서부터 다양한 터미널 환경, 특히 저자원 터미널 환경에 대한 적응성을 완전히 고려하여 다양한 실제 시나리오에 유연하게 배포될 수 있습니다.
2. RTT 전송 최적화
RTT는 주로 프로토콜 최적화와 멀티 전송 및 선택적 수신 기술을 통해 네트워크 전송 기능을 보장합니다.
2.1 프로토콜 최적화
RTT는 WAN 최적화를 위한 ZetaTCP® 특허 기술을 포함합니다. ZetaTCP®는 네트워크 경로 특성의 자체 학습을 기반으로 한 동적 알고리즘을 사용하는 학습 기반 TCP 가속 기술입니다. 각 TCP 연결에 대해 실시간으로 네트워크 기능을 지속적으로 관찰하고 분석하며, 학습된 네트워크 기능에 따라 알고리즘을 조정하여 혼잡 수준을 더 정확하게 결정하고, 패킷 손실을 더 시기적절하게 감지하며, 따라서 혼잡을 적절히 처리하고 패킷 손실을 더 빠르게 복구합니다. 학습 기반 알고리즘은 네트워크 경로 특성의 변화에 적응할 수 없는 정적 알고리즘의 문제를 극복하여 다양한 네트워크 환경에서 가속의 지속적인 효과를 보장하고 네트워크 지연 및 패킷 손실 특성의 다양한 빈번한 변화를 해결합니다. ZetaTCP® 최적화 기술에 대한 자세한 정보는 "ZetaTCP® 백서"를 참조하세요.
SmartWAN은 ZetaTCP® 최적화 기술을 RTT 터널링에 통합하여 RTT 터널이 전 세계의 다양한 복잡한 네트워크 환경에서 효율적인 전송이 가능하도록 하며, RTT 터널을 통한 기업 애플리케이션 데이터 전송의 적시성을 보장하고 글로벌 비즈니스 운영의 효율성과 경험을 보장합니다.
2.2 멀티 전송 및 선택적 수신
ZetaTCP® 최적화 기술을 기반으로 SmartWAN은 멀티 전송 및 선택적 수신 전송 최적화 기술을 더욱 발전시켜 기업 애플리케이션 트래픽에 대한 RTT의 전송 지원을 최고 수준으로 끌어올렸습니다.
멀티 전송 및 선택적 수신 기술은 전송 단에서 네트워크 패킷을 여러 개의 동일한 패킷으로 복제하고 RTT 터널의 여러 다른 경로를 통해 동시에 전송합니다. 수신 단은 여러 네트워크 패킷 중 하나라도 수신하면 전송이 성공한 것으로 간주하며, 나중에 도착하는 나머지 중복 패킷은 수신 단에서 폐기됩니다(수신 단은 네트워크 패킷의 시퀀스 번호를 사용하여 현재 수신된 네트워크 패킷이 이전에 수신된 패킷의 중복 패킷인지 확인합니다).
멀티 전송 및 선택적 수신 기술은 중요한 기업 애플리케이션에 추가적인 전송 보호를 제공하여 전송의 세그먼트 또는 전체 네트워크 경로에서 장애가 발생하더라도 중요한 애플리케이션이 중단되지 않도록 보장합니다. 멀티 전송 및 선택적 수신 기술은 동일한 네트워크 패킷을 복제하고 전송하므로 추가 네트워크 대역폭 리소스를 소비하므로 일반적으로 중요한 애플리케이션에만 활성화하여 전송 보호를 제공합니다.
3. RTT 전송 보안
RTT 터널은 엔드-투-엔드 암호화 기술을 통해 기업 애플리케이션 데이터 전송의 보안을 보장합니다.
일반적으로 전송 경로 최적화를 위해 SD-WAN 백본 네트워크를 사용할 때, 기존 IPSec 및 기타 터널링 기술을 기반으로 한 SD-WAN 솔루션은 전송 중 기업 애플리케이션 데이터를 암호화하기 위해 "세그먼트 암호화"만 사용할 수 있습니다. "세그먼트 암호화"는 경로를 따라 각 PoP 노드에서 기업 애플리케이션 데이터를 "복호화-암호화"해야 하며, 이는 기업 애플리케이션 데이터가 유출되거나 변조될 위험을 노출시킵니다.
"세그먼트 암호화"와 비교하여 SmartWAN RTT 터널링은 전송 중 기업 애플리케이션 데이터를 암호화하기 위해 "엔드-투-엔드 암호화"를 사용합니다. "엔드-투-엔드 암호화" 모드에서 기업 애플리케이션 데이터는 송신 측 사무실 사이트 네트워크에 위치한 CPE에서 암호화되며, 수신 측 사무실 사이트 네트워크에 위치한 CPE에 도달할 때까지 복호화되지 않습니다. 경로상의 어떤 PoP 노드에서도 복호화 작업이 없습니다.
"엔드-투-엔드 암호화"를 실현하기 위해 RTT 터널은 이중 레이어 캡슐화 터널 설계를 채택합니다. 외부 레이어 캡슐화는 Overlay 경로를 설정하는 데 사용되며, 레이블 스위칭(LS)은 경로상의 PoP 노드 간에 네트워크 패킷을 전달하는 데 사용됩니다. 내부 레이어 캡슐화는 "엔드-투-엔드" 데이터 암호화에 사용됩니다. 패킷이 PoP 노드를 통과할 때 외부 레이어 캡슐화의 패킷 헤더만 파싱됩니다. 다음 홉 PoP 노드가 식별되면 패킷을 전달하기 전에 외부 레이어 캡슐화의 패킷 헤더에 있는 목적지 IP 필드가 다음 홉의 IP 주소로 수정됩니다. RTT를 통한 기업 애플리케이션 데이터 전송의 보안을 보장하기 위해 PoP 노드는 내부 레이어 캡슐화를 간섭하지 않습니다. 이는 암호화 키가 양쪽 끝의 CPE에 의해 협상되고 생성되기 때문이며, PoP 노드 자체는 내부 레이어 캡슐화의 암호화를 파싱할 능력이 없기 때문입니다.
4. RTT 원활한 경로 전환
우리의 목표는 기업 고객에게 최고 품질의 SD-WAN 백본 네트워크 전송을 제공하는 것입니다. 경로상의 PoP 노드가 과부하 상태이거나 오류가 있는 경우, 또는 현재 경로가 더 이상 SLA 요구 사항을 충족하지 않는 경우 실시간 백본 네트워크 경로 전환이 필요할 수 있습니다. CloudWAN Orchestrator는 일반적으로 전체 네트워크의 실시간 모니터링 결과를 기반으로 운영 지침을 발행하여 실시간 경로 전환을 자동으로 처리한다는 점에 유의하세요.
RTT는 경로 전환 중 중단 없는 기업 애플리케이션 성능을 보장하기 위해 원활한 경로 전환을 구현했습니다. 이 기능은 기업 애플리케이션이 경로 전환에 민감하지 않도록 설계되어 원활하고 중단 없는 사용자 경험을 제공합니다.
RTT는 원활한 경로 전환을 가능하게 하기 위해 이중 레이어 터널 캡슐화를 활용합니다. 또한 외부 레이어는 홉바이홉 경로를 따라 세그먼트 터널로 구성되며, 내부 레이어는 외부 레이어를 기반으로 설정된 엔드-투-엔드 터널입니다. 기업 애플리케이션 트래픽은 두 CPE 사이의 이 내부 터널 내에서 흐릅니다. 경로 전환이 발생하면 외부 터널은 최신 경로 지침에 따라 새로운 세그먼트 터널을 접합하여 전환을 완료합니다. 한편, 내부 터널은 경로 전환에 민감하지 않습니다. 시작점과 끝점의 두 엔드포인트가 변경되지 않는 한 내부 터널은 변경되지 않은 것으로 간주할 수 있습니다. 내부 터널 내에서 흐르는 기업 애플리케이션의 트래픽이 외부 경로 전환의 영향을 전혀 받지 않을 때 원활한 경로 전환이 가능합니다. 따라서 내부 터널이 변경되지 않으면 경로 전환 프로세스는 그 안의 트래픽 흐름에 영향을 미치지 않습니다. 외부 및 내부 터널과 기업 애플리케이션의 트래픽을 각각 철도 트랙, 기차 및 승객에 비유하면 철도 트랙은 전환기를 통해 경로 전환을 완료하는 반면 기차는 전환기 작동을 인식하지 못합니다. 마찬가지로 출발 및 도착역이 변경되지 않는 한 기차 일정은 변경되지 않으며, 객차에 앉아 있는 승객은 철도 트랙의 변화를 인식하지 못합니다.
5. RTT 이식성/호환성
RTT는 다양한 하드웨어 플랫폼에서 실행되도록 설계된 높은 유연성과 경량성을 갖춘 솔루션입니다. 멀티 코어 고주파수 프로세서, 수백 GB의 메모리 공간을 갖추고 장치당 최대 40Gbps의 트래픽 처리량을 제공할 수 있는 고성능 산업용 제어 머신 하드웨어 플랫폼에서 작동할 수 있습니다. 또한 저주파수 프로세서와 몇 MB에 불과한 제한된 메모리 공간을 가진 IoT 터미널에서도 실행할 수 있습니다. RTT의 경량 및 유연한 설계로 x86 기반 산업용 제어 머신, 가상화된 클라우드 호스트, MIPS/ARM 기반 라우터 또는 카메라, 차량 탑재 장치, IoT 장치 및 휴대용 스마트 터미널을 포함한 다양한 시스템 플랫폼에 성공적으로 이식되었습니다. 이러한 적응성을 통해 RTT는 다양한 사용 시나리오의 다양한 요구를 충족할 수 있습니다.
SmartWAN AI 가속: Zeta TCP 백서
목차
- 개요
- TCP 최적화
- ZetaTCP 소개
- 작동 원리
- 결론
1. 개요
TCP(Transmission Control Protocol, 전송 제어 프로토콜)는 약 40년 동안 사용되어 왔습니다. 원래는 DARPA와 대학 연구 기관을 주요 대상으로 개발된 프로토콜이었으나, 오늘날에는 인터넷 트래픽의 90% 이상을 처리하는 핵심 기술이 되었습니다.
하지만 인터넷의 발전과 함께 TCP는 웹 성능을 최적화하는 데 있어 하나의 병목 현상으로 작용하게 되었습니다.
TCP의 가장 중요한 목표는 모든 패킷을 정확한 순서로 전송하고, 누락 없이 도착하게 하는 것입니다. 이를 위해 TCP는 한 번에 보낼 수 있는 패킷 수를 제한하고, 각 패킷에 대한 수신 확인(ACK)을 받은 후에야 추가 전송을 허용합니다. 이 방식은 신뢰성을 높이는 데에는 효과적이지만, 네트워크 혼잡 상황을 정확히 반영하지 못할 때가 많아 대역폭을 비효율적으로 사용하게 하고, 결과적으로 최종 사용자 경험을 저하시킬 수 있습니다.
특히 표준 TCP는 패킷 손실을 네트워크 혼잡의 신호로 인식하고, 전송 속도를 조절하는데, 이러한 접근법은 실제 네트워크 상태를 충분히 반영하지 못하여 느리고 비효율적인 데이터 전송을 초래할 수 있습니다.
2. TCP 최적화
현재까지 TCP 최적화 방식은 세 가지 세대로 구분할 수 있습니다.
- 손실 기반(loss-based): 패킷 손실을 통해 속도를 조절
- 지연 기반(delay-based): 손실 대신 대기 지연을 기준으로 속도를 조절
- 학습 기반(learning-based): 세션 데이터를 분석하고 학습하여 실시간으로 속도를 조절
손실 기반 방식은 오늘날 네트워크 용량이 과거보다 훨씬 커졌음에도, 기본적으로 여전히 손실 발생을 통해 속도를 제어합니다. 초기 혼잡 윈도우(CWND) 크기를 늘리고 손실 복구를 개선하는 등의 시도가 이루어졌지만, 결국 여전히 손실을 기준으로 전송 속도를 제한하기 때문에 불안정하고 비효율적인 결과를 낳습니다. 또한 이 방식은 기본적으로 고정적(static)입니다. 네트워크 상황에 따라 유연하게 조정되지 않습니다.
TCP Reno나 Cubic이 대표적인 손실 기반 최적화 예시입니다.
지연 기반 방식은 손실이 아니라 RTT(Round Trip Time, 왕복 시간)의 변화를 모니터링하여 전송 속도를 조절합니다. 이 방법은 불필요한 속도 저하를 방지하고 패킷 손실 자체를 줄이는 데 기여하여, 특히 비디오 스트리밍이나 웹 페이지 로딩처럼 고속 안정 흐름이 필요한 상황에 유리합니다. 그러나 모바일 네트워크처럼 지연이 자주 변하는 환경에서는 성능이 저하될 수 있으며, 이 역시 기본적으로 고정적인 성격을 가지고 있습니다.
FastTCP가 대표적인 지연 기반 최적화 사례입니다.
학습 기반 방식은 TCP 플로우의 특성을 실시간으로 관찰하고 분석하여, 세션별로 최적의 전송 결정을 내리는 접근법입니다. 기존의 고정형 방식의 한계를 극복하며, 보다 정확하게 혼잡을 감지하고 대응할 수 있습니다.
ZetaTCP는 바로 이 학습 기반 방식을 기반으로 개발되었습니다.
3. ZetaTCP 소개
Appex Networks는 학습 기반 TCP 가속화 기술인 ZetaTCP를 개발하였습니다.
ZetaTCP는 다음과 같은 설계 목표를 바탕으로 만들어졌습니다.
▪ 투명성
ZetaTCP는 기존 TCP 스택을 대체하거나 변경하지 않고, 완전히 호환되면서 성능을 향상시키도록 설계되었습니다. TCP 플로우를 받아 최적화한 뒤 다시 내보내는 방식이기 때문에, 수신 측에서는 ZetaTCP의 존재를 인식할 필요가 없습니다.
ZetaTCP는 스마트폰, 태블릿, 노트북과 같은 클라이언트 기기에 내장하거나, 서버, 로드 밸런서, 캐시 장비 등에 설치할 수 있습니다.
구성은 다음과 같습니다: 표준 TCP 스택과 네트워크 인터페이스 드라이버 사이에 ZetaTCP가 위치하여, 모든 애플리케이션은 기존 TCP 스택과 그대로 통신합니다.
배포 방식이 어떠하든, 애플리케이션이나 네트워크 장비 입장에서는 ZetaTCP가 완전히 투명하게 동작합니다.
▪ 학습 기반
ZetaTCP는 자체 특허를 보유한 알고리즘을 통해 TCP 플로우의 특성을 실시간으로 학습하고 분석합니다. 이를 통해 정확하고 빠른 의사결정을 내리고, 기존 TCP로는 도달할 수 없던 성능 수준을 실현합니다.
▪ 확장성
ZetaTCP는 높은 확장성을 갖추었습니다.
산업용 네트워크 장비(라우터, 게이트웨이, 애플리케이션 전송 컨트롤러 등)에 탑재하면 수백만 개의 TCP 플로우와 수십 기가비트급 트래픽을 처리할 수 있습니다.
반면, 스마트폰이나 가정용 무선 공유기 같은 소비자용 기기에도 소수의 메모리만으로 쉽게 적용할 수 있습니다.
이러한 설계 목표 덕분에 ZetaTCP는 다양한 환경에서 뛰어난 네트워크 성능 향상을 제공할 수 있습니다.
4. 작동 원리
ZetaTCP 엔진은 대부분의 최적화 로직과 제어 기능을 담당합니다.
TCP 입출력 모듈에서 패킷을 큐잉(임시 저장)하고, WAN(광역 네트워크) 측 중심으로 처리가 이루어집니다.
ZetaTCP는 다음과 같은 주요 컴포넌트로 구성되어 있습니다.
▪ 학습 상태 머신 (Learning State-Machine)
ZetaTCP의 핵심 지능 허브입니다. 네트워크 경로에 대한 정보를 축적하며, 세션별 실시간 의사결정을 내립니다. (예: 데이터 전송 속도 조정, 재전송 타이밍 결정)
▪ 플로우 프로파일러 (Flow Profiler)
각 TCP 플로우의 특성을 추출하여 학습 상태 머신에 기록하고 유지합니다.
▪ 손실 감지기 (Loss Detector)
패킷 손실을 감시하고, 손실이 무작위적 요인인지 네트워크 혼잡 때문인지 구분합니다.
▪ 혼잡 제어기 (Congestion Controller)
학습된 정보를 바탕으로 핵심 혼잡 제어 로직을 실행합니다.
▪ 예외 처리기 (Exception Handler)
TCP 플로우를 직접 가속화하는 대신, 경로상의 오류를 감지하여 최적 가속을 지원합니다. (일부 장비나 스택은 TCP 구현이 잘못되어 있는 경우가 있어, 이를 지능적으로 탐지합니다.)
▪ 윈도우 컨트롤러 (Window Controller)
LAN 및 WAN 양쪽에서 수신 패킷 수를 제어하기 위해, 광고 윈도우 크기를 계산합니다. 가속 성능과 시스템 자원 사이의 균형을 유지합니다.
▪ 리소스 관리자 (Resource Manager)
메모리와 CPU 사용량을 추적하고 제어합니다.
모든 TCP 플로우 간에 자원을 공평하게 분배하며, 대규모 세션 수를 효율적으로 처리할 수 있도록 지원합니다.
▪ 혼잡 감지 및 처리 개선
표준 TCP의 혼잡 회피(congestion avoidance) 알고리즘은 수십 년 전 설계되었습니다. 이 알고리즘은 모든 패킷 손실을 혼잡의 신호로 간주하는 단순한 전제를 따릅니다.
하지만 오늘날 대부분의 네트워크에서는 손실이 반드시 혼잡 때문에 발생하는 것이 아닙니다. 특히 무선·모바일 네트워크에서는 신호 약화로 인한 자연스러운 손실이 자주 발생합니다. 이런 환경에서는 표준 TCP가 제대로 성능을 발휘하지 못합니다.
지연 기반 접근법은 지연 시간 증가를 혼잡의 신호로 인식해 손실보다 나은 성능을 보여주긴 합니다. 그러나 이 방식 역시 고정적이며, 상황 변화에 민감하게 대응하지 못합니다.
예를 들어, 네트워크 경로에 얕은 큐(버퍼)가 존재할 경우, 지연이 충분히 쌓이지 않아 혼잡을 감지하지 못하고 전송 속도를 줄이지 못하는 문제가 생깁니다. 이로 인해 대량의 패킷 손실이 발생하고, 복구에도 오랜 시간이 걸립니다. 또 다른 예로는, 경로 상의 네트워크 장비가 간헐적으로 처리 지연을 일으킬 때인데, 이 경우 지연 기반 TCP는 이를 잘못된 혼잡 신호로 오해하여 필요 이상으로 속도를 줄이게 됩니다.
ZetaTCP는 이러한 한계를 극복하기 위해 지능적인 알고리즘을 학습 상태 머신에 내장하였습니다.
TCP 연결마다 실시간 트래픽 통계를 기반으로 다음과 같은 요소를 고려하여 혼잡을 정확히 감지합니다.
- RTT(왕복 시간)
- ACK(응답 간격)
- SACK(선택적 응답) 및 패킷 순서 엉킴 정도
이러한 학습을 통해 ZetaTCP는 각 연결 경로의 특성을 파악하고, 혼잡을 더 빠르고 정확하게 감지하며, 효과적으로 대응합니다. 그 결과, 대규모 손실을 예방하고, 혼잡 이후에도 부드럽게 복구하여 가용 대역폭을 효율적으로 활용할 수 있습니다.
▪ TCP 최적화 방식 비교
아래 도표(문서 Figure 3 참조)는 네 가지 대표적 네트워크 상황에서 손실 기반, 지연 기반, 학습 기반 접근법의 혼잡 대응 성능을 비교한 것입니다.
- 비혼잡성 손실 상황
- 대용량 버퍼 혼잡
- 소형 버퍼 혼잡
- 네트워크 장비의 처리 지연 발생
결과를 보면, 지연 기반 접근법이 손실 기반보다 두드러지게 나은 성능을 보였지만, 얕은 큐 혼잡 상황에서는 혼잡을 인지하지 못하여 성능이 급격히 떨어졌습니다. 또, 장비의 처리 지연을 혼잡으로 오인하여 불필요한 속도 저하도 발생했습니다.
반면 ZetaTCP는 모든 상황에서 정확히 혼잡을 감지하고 빠르게 복구하여, 평균 처리량(throughput)에서 압도적인 우위를 보였습니다.
▪ 정확하고 예측 가능한 손실 감지 및 빠른 복구
패킷 손실은 일반적으로 전송 기간 동안 고르게 분포하지 않고, 특정 구간에 몰려서 발생하는 경향이 있습니다.
표준 TCP(특히 RFC 2582나 SACK 지원 알고리즘인 RFC 3517 기반)는 이와 같은 클러스터 손실 상황을 제대로 처리하지 못하고, 누락된 패킷을 신속히 재전송하는 데 실패하는 경우가 많습니다. 이로 인해 복구에 더 많은 왕복 시간이 소요되고, 전송 지연이 커집니다.
또한, 재전송 타임아웃(RTO)이 발생할 경우 표준 TCP는 마지막으로 성공한 ACK 시점까지 완전히 되돌아가 재전송을 시도합니다. 이 방식은 효율이 극히 낮으며, 상황을 오히려 악화시키기도 합니다.
ZetaTCP는 학습 기반 지능을 통해 손실 감지 및 복구 성능을 크게 개선했습니다.
TCP 연결마다 트래픽 통계를 수집하고 손실 유형을 분류하여, 향후 손실을 더 빠르고 정확하게 감지할 수 있습니다.
또한, RTO 발생을 최소화하려 노력하며, 불가피하게 RTO가 발생해도, 마지막 ACK 지점까지 무조건 되돌리는 대신, 실질적으로 손실된 것으로 판단되는 구간만 골라 재전송합니다.
이 덕분에 복구 속도는 훨씬 빨라지고, 불필요한 재전송 트래픽이 대폭 감소하여 대역폭 효율이 극대화됩니다.
▪ 실제 데이터 기반 테스트 결과
문서상의 Figure 4 실험은 다음 조건에서 진행되었습니다:
- RTT: 100ms
- 평균 손실률: 1%
- 최대 수신 윈도우: 65,535 바이트 (이론적 최대 대역폭 약 5.24Mbps)
테스트 결과,
- 표준 TCP는 손실 복구가 느려 기대치보다 훨씬 낮은 속도를 기록했습니다.
- ZetaTCP는 손실을 신속히 감지하고 복구하여, 높은 RTT와 손실률에도 불구하고 최대 대역폭에 거의 근접하는 성능을 달성했습니다.
특히 모바일 네트워크 환경(라스트마일 무선 채널 손실이 빈번한 경우)에서는 ZetaTCP의 성능 차이가 더욱 뚜렷하게 나타났습니다.
▪ 제3자 성능 비교 테스트
문서의 Figure 5는 제3자 기관이 수행한 비교 테스트 결과입니다.
최대 대역폭 16Mbps 환경에서 여러 네트워크 시나리오를 시뮬레이션하여,
- 손실 기반(New Cubic TCP)
- 지연 기반(Fast TCP 계열)
- 학습 기반(ZetaTCP)
세 가지 접근법의 평균 처리량을 비교했습니다.
결과는 명확합니다.
- 손실 기반은 모든 시나리오에서 최악의 성능을 보였고,
- 지연 기반은 그보다 개선되었지만 한계가 있었으며,
- ZetaTCP는 모든 상황에서 가장 높은 처리량을 기록했습니다.
5. 결론
오늘날 인터넷 트래픽의 90% 이상이 TCP 위에서 전달되고 있지만, TCP는 현대 웹 서비스의 고속성과 민감한 지연 요구를 만족시키기에는 명백한 한계에 부딪히고 있습니다.
기존 손실 기반 최적화는 일부 개선을 제공하지만, 여전히 손실에 의해 속도가 지배되기 때문에 높은 전송 속도와 안정적 처리량은 기대하기 어렵습니다.
지연 기반 접근법은 좀 더 현대적인 해법이지만, 본질적으로 고정적이고 일괄적인 특성에서 벗어나지 못합니다.
이에 따라, 세션별로 실시간 최적화를 적용할 수 있는 '학습 기반' 접근법이 필수적입니다.
ZetaTCP는 전 세계 수백 개 기업과 수백만 명의 사용자가 이미 신뢰하는,
세계 최고 수준의 학습 기반 TCP 가속화 엔진입니다.
완전한 투명성으로 기존 TCP 스택과 호환되며,
딜레이 민감한 애플리케이션의 성능을 대폭 향상시킵니다.
02. Datasheet 및 조견표
SmartWAN Datasheet
SmartWAN 5.8
SmartWAN은 SDN 및 ZetaTCP 기술을 기반으로 하는 차세대 엔터프라이즈 네트워크 서비스 플랫폼입니다. 기업을 위한 네트워킹, 클라우드 연결, SaaS 액세스 최적화 등 최적화된 서비스를 제공합니다. 현재까지 600개 이상의 POP를 구축했으며, 지능형 오케스트레이터의 효율적인 네트워크 리소스 관리를 통해 전 세계 기업의 고속 상호 연결을 지원합니다.
SmartWAN 아키텍처 개요
SmartWAN 구성 요소
인터넷 트래픽 흐름의 동적 제어를 위한 오케스트레이터 적용 AI
• 중앙 집중식 관리 및 시각화된 사용자 포털
Orchestrator는 기업 지점에 배포된 CPE에 대한 중앙 집중식 제어 및 구성을 제공하여 네트워크 관리를 간소화합니다. 이러한 지원은 멀티테넌트 사용자 포털로 확장되며, 사용자는 사용자 포털에 액세스하여 자신의 네트워크를 관리하면서 독점적이고 중앙 집중화된 관리 환경을 누릴 수 있습니다.
• 연중무휴 24시간 지능형 관리, 모니터링 및 리소스 할당
오케스트레이터는 CPE, POP, 네트워크 연결 등과 관련된 실시간 통계 및 데이터를 지속적으로 분석합니다. 이 정보를 사용하여 POP, CPE, 네트워크 연결 등 네트워크 리소스를 모니터링하고 예약하는 동시에 자동 장애 조치도 지원합니다.
• 최적의 전송을 위한 실시간 지능형 경로 선택
오케스트레이터는 고객 트래픽을 위한 고품질 오버레이 네트워크 경로를 선택하여 경로 상태를 지속적으로 모니터링하고 데이터 분석을 활용하여 혼잡을 방지합니다. 연결의 현재 경로가 SLA를 준수하지 못할 때마다 Orchestrator는 전송에 대한 SLA 요구 사항을 충족할 수 있는 다른 경로로 트래픽을 리디렉션합니다. 경로 전환은 패킷 손실이 발생하지 않으며 애플리케이션에 구애받지 않습니다.
• 분산 배포
Orchestrator는 특정 영역 내에서 모든 POP, 사용자 액세스 및 라우팅 제어를 처리하는 동시에 사용자에게 자체 관리 기능도 제공합니다. 오케스트레이터의 분산 배포는 글로벌 이중화를 달성하여 관리 시스템(SPOF)의 단일 장애 지점을 제거합니다.
RTT(실시간 TCP 터널)-데이터 전송을 가속화하고 언더레이 패킷 손실의 영향을 완화합니다.
• 프로토콜 최적화 기술: 프로토콜 최적화 알고리즘을 통해 동일한 조건에서 네트워크 데이터의 전송 속도가 매우 빨라지고 연결의 전송 효율이 향상됩니다.
• IPEQ 엔드투엔드 트래픽 흐름 제어: 시스템이 발신자의 전송 동작을 원격으로 관리하여 다운로드 방향의 데이터 흐름을 완벽하게 제어하고 패킷 손실 없이 다운로드 정체를 제거합니다.
네트워크 리소스 - SmartWAN 백본의 전 세계 600개 이상의 POP
• POP: 600개 이상의 POP가 전 세계 T3/T4 IDC 및 퍼블릭 클라우드에 배포되어 있으며, 수요에 따라 POP 커버리지의 규모를 확장할 수 있습니다.
• 글로벌 백본: 백본은 통신 서비스 제공업체와 클라우드 사업자의 임대 회선과 고품질 인터넷 연결을 기반으로 구축됩니다.
• 라스트 마일: 사용자는 광대역, DIA, 4G, 5G, 최소 회선, 위성 등 다양한 라스트 마일 옵션을 통해 가까운 POP에서 SmartWAN 서비스에 액세스할 수 있습니다. 멀티-WAN 기술(장애 조치 또는 로드 밸런싱)을 통해 고객의 활용도를 높일 수 있습니다.
안정적이고 비용 효율적인 연결을 위해 현장의 기존 대역폭 리소스를 활용합니다.
SmartWAN 서비스 액세스 디바이스/SW
• ZTP: 제로 터치 프로비저닝이 지원되어 사이트 온보딩 프로세스의 속도를 높일 수 있습니다.
• 고가용성 배포: 사이트의 가용성 향상을 위해 액티브/스탠바이 고가용성 배포 및 CPE/vCPE의 클러스터 배포가 지원됩니다.
• AccessDevice/SW 옵션: 다양한 용량의 하드웨어 CPE, 메인스트림 퍼블릭 클라우드 및 가상 플랫폼에서 실행할 수 있는 vCPE, Windows, macOS, Android 및 iOS에서 실행할 수 있는 모바일 CPE.
SmartWAN 네트워킹 서비스
이 SD-WAN 운영 플랫폼을 기반으로 SmartWAN은 네트워킹 자동화를 핵심으로 하는 전체 SD-WAN 기능 세트를 추가합니다.
간편한 네트워킹
고객의 IT 담당자는 SmartWAN에서 제공하는 사용자 포털을 사용하여 네트워크 설정을 쉽게 구성할 수 있습니다. 이 과정은 간단한 세 단계만 거치면 됩니다:
• 본사, 데이터 센터, 지사의 기본 네트워크 정보를 입력합니다.
사무실(이하 사이트)을 선택합니다. 배포할 SmartWAN CPE(고객 프레미스 장비)의 모델 및 구성을 선택합니다.
• 인트라넷에서 상호 연결이 필요한 사이트를 지정합니다. IT 담당자는
옵션을 사용하여 토폴로지를 수동으로 지정하거나 풀-메시 및 스포크-허브와 같이 SmartWAN에서 제공하는 사전 정의된 토폴로지 템플릿을 사용할 수 있습니다.
• 애플리케이션 트래픽 정책을 정의하세요. 품질 요구 사항, 우선 순위 및
다양한 애플리케이션의 대역폭 요구 사항. 고객이 서로 다른 애플리케이션의 품질 수준을 구분할 필요가 없는 경우 이 단계는 필수가 아닙니다.
위의 단계는 SmartWAN 구매를 결정하기 전에 무료로 수행할 수 있습니다. IT 담당자가 기업의 기본 네트워크 조건과 연결 요구 사항에 익숙하다면 이러한 단계를 빠르게 완료할 수 있습니다. 또는 기술 지원팀이 고객의 IT 담당자를 대신하여 이 단계를 완료하는 데 도움을 드릴 수 있습니다.
제로 터치 프로비저닝
위의 단계를 완료한 후 기업 고객은 Orchestrator 사용자 포털에서 여러 사이트에 대한 SmartWAN CPE를 주문할 수 있습니다. 고객은 배포 진행 상황에 따라 일괄 구매할 수 있습니다. SmartWAN 시스템은 사이트 CPE의 기본 구성을 자동으로 생성합니다. 고객은 IT 담당자의 도움 없이도 몇 가지 간단한 작업만으로 메일로 발송된 CPE를 활성화할 수 있습니다. IT 담당자가 사용자 포털에서 계획한 구성이 자동으로 CPE에 로드됩니다.
엔드투엔드 가시성-네트워크 모니터링 및 보고서
기업 고객의 IT 담당자는 사용자 포털에서 CPE의 상태와 조건, 연결, 정책, 애플리케이션 트래픽 통계를 모니터링할 수 있습니다. 한편 SmartWAN은 시각화된 보고서 및 경고 알림과 같은 기능을 제공합니다.
네트워크 자동화는 여러 지점의 네트워킹 효율성을 크게 향상시키는 동시에 배포 및 IT 운영 비용을 효과적으로 절감합니다. 수많은 지사, 매장, 아울렛이 있는 리테일 네트워킹에 더 잘 대응하기 위해 SmartWAN은 4G/5G 액세스 기능을 갖춘 CPE 모델을 제공합니다. 이는 현장에서 유선 네트워크에 액세스하는 소매점과 유선 회로의 백업으로 셀룰러 네트워크(4G 및 5G)가 필요한 고객에게 특히 유용합니다. 또한, SmartWAN은 PC, 태블릿, 스마트폰과 같은 모바일 디바이스에 설치되는 소프트웨어 클라이언트인 모바일 CPE를 제공하여 SmartWAN 백본을 통해 기업 애플리케이션 시스템에 연결할 수 있습니다. 이 솔루션은 원격 및 모바일 직원을 위해 기업 애플리케이션 시스템에 대한 고성능 액세스가 필요한 기업의 요구를 충족합니다.
다단계의 SmartWAN 품질
SmartWAN은 연결에 대해 각각 특정 SLA 기준에 따라 정의된 6가지 서비스 수준을 제공하는 중요한 기능을 제공합니다. 이를 통해 기업 고객은 특정 애플리케이션 요구 사항과 원하는 전송 성능에 따라 적절한 수준의 연결 품질을 선택할 수 있습니다. 이를 통해 사용자는 효율적인 워크플로우와 긍정적인 사용자 경험을 유지하면서 비용을 최적화하고 절감할 수 있습니다.
SmartWAN은 여러 등급의 품질 외에도 모든 품질 수준의 연결에 대해 여러 경로 모니터링 및 지능형 라우팅 기능을 제공합니다. 현재 경로 품질이 변동하여 지정된 SLA 품질을 보장할 수 없는 경우, 시스템은 자동으로 SLA를 지원하는 다른 경로로 전환합니다. 또한 링크가 비정상적으로 연결이 끊어지는 경우 시스템은 적시에 다른 적격 링크로 전환합니다. 연결 모니터링 및 경로의 지능적인 전환은 전송 품질의 일관성을 효과적으로 제공하여 연결의 안정성을 크게 향상시킵니다.
SmartWAN SaaS 서비스
사용 편의성 덕분에 SaaS는 점점 더 많은 기업의 사랑을 받고 있습니다. 하지만 SaaS는 인터넷을 통해서만 애플리케이션에 액세스해야 하기 때문에 특히 국경을 넘는 SaaS 소프트웨어의 경우 액세스 품질을 보장하기 어렵습니다.
마찬가지로 퍼블릭 클라우드에서 애플리케이션에 액세스하는 경우에도 비슷한 안정성 문제가 발생합니다. 일부
퍼블릭 클라우드 제공업체는 다이렉트 액세스와 같은 서비스를 출시했지만, 대부분의 경우 기업 사용자는 여전히 인터넷을 통해 클라우드에 연결해야 합니다. SmartWAN의 중요한 기능은 다음과 같은 기능을 포함하여 SaaS 및 클라우드 액세스를 가속화하는 것입니다.
프록시 중복 작업
SmartWAN은 잘 알려진 모든 SaaS 및 퍼블릭 클라우드에 여러 개의 액세스 프록시를 할당했습니다. 프록시 또는 연결 경로에 품질 문제나 연결 끊김이 발생하면 트래픽이 가장 안정적인 프록시로 자동 조정되어 지속적이고 안정적인 액세스를 보장합니다.
SLA 기반 지능형 경로 선택
SmartWAN을 통해 사용자는 특정 SaaS 애플리케이션 및 클라우드에 대해 서로 다른 SLA 수준의 경로를 선택할 수 있으며, 시스템은 품질 요구사항을 충족하는 최적의 경로를 지능적으로 선택합니다. 이러한 설계는 SaaS 애플리케이션 및 퍼블릭 클라우드 리소스에 액세스하는 사용자 경험을 더욱 향상시키고 비용을 유연하게 제어합니다.
SaaS 애플리케이션 및 클라우드의 글로벌 풋프린트
SmartWAN 시스템은 기업 고객을 쉽게 식별하고 선택할 수 있도록 세계적으로 유명한 SaaS 및 퍼블릭 클라우드를 이름과 지역별로 사전 정의합니다. 동시에 SmartWAN은 전 세계 600개 이상의 POP로 확장되어 잘 알려진 SaaS 및 퍼블릭 클라우드를 SmartWAN 네트워크에 통합했습니다.
SmartWAN 기능
• 네트워크 상태 시각화: SmartWAN은 전반적인 네트워크 상태를 보여주는 시각화된 사용자 포털을 제공합니다. 지연 시간, 패킷 손실, 처리량과 같은 실시간 네트워크 성능 통계가 직관적인 방식으로 표시되어 고객이 네트워크 상태와 사용량을 이해하는 데 도움이 됩니다. 또한 SmartWAN은 네트워크 리소스의 주기적 사용량을 종합적으로 파악할 수 있는 다양한 차트를 제공합니다.
• 사이트 WAN 리소스의 중앙 집중식 관리: SmartWAN은 고객 사이트에서 사용 가능한 여러 WAN 리소스를 관리할 수 있습니다. 애플리케이션 또는 고객이 정의한 기본 설정에 따라 WAN 링크가 선택되므로 사용자 경험을 보장하고 사이트의 기존 리소스를 더 잘 활용하며 대역폭에 소요되는 비용을 절감할 수 있습니다.
• TopN 트래픽 분석: SmartWAN은 다양한 관점(예: 5-tuple 및 정책 등)에서 서비스 트래픽을 분석하여 고객이 트래픽 상태를 명확하게 파악할 수 있도록 합니다.
• 원클릭 네트워킹: 클릭 한 번으로 풀메시 또는 스포크 허브 네트워크를 설정할 수 있습니다. 대규모
기업 고객의 온프레미스에 신속하게 배포할 수 있어 기업 네트워크의 신속한 업그레이드 및 확장이 가능합니다.
• QoS 관리: QoS 관리는 애플리케이션을 1에서 6까지 등급으로 평가하는 WAN 및 LAN에 대한 QoS 우선순위 정책을 지원합니다. 이 기능을 통해 고객은 중요한 애플리케이션의 트래픽 우선 순위를 지정하고 애플리케이션을 위해 대역폭을 예약할 수 있습니다.
• 주요 애플리케이션을 위한 패킷 복제: 네트워크 변동이나 네트워크 장애 발생 시 패킷 복제 기술을 통해 중요한 애플리케이션의 정상적인 사용을 최대한 보장합니다.
• 엔드투엔드 보안: SmartWAN CPE는 표준 국제 데이터 암호화 알고리즘을 사용하여 엔드투엔드 터널을 암호화하므로 데이터 보안을 보장합니다.
• 감지 및 진단: 네트워크 품질은 다양한 방법을 통해 감지되므로 가장 포괄적인 방법으로 네트워크 문제를 진단할 수 있습니다.
• 애플리케이션 전용 정책: 애플리케이션의 데이터 트래픽이 특정 트래픽 임계값에 도달하면 데이터 포워딩을 위한 전용 WAN 포트를 지원합니다.
• 모바일 CPE를 통한 액세스: 원격 근무자에게는 모바일 CPE(PC, 태블릿, 모바일에서 실행되는 클라이언트 소프트웨어)가 제공되어 언제 어디서나 기업 네트워크에 액세스하여 SmartWAN 서비스에 빠르게 액세스할 수 있습니다.
• 동적 라우팅 프로토콜: OSPF와 BGP가 모두 지원됩니다.
• 사이트 고가용성 배포: 액티브-대기 모드와 클러스터 모드를 모두 CPE/vCPE 배포에 사용할 수 있습니다. 또한 장애 조치 및 부하 분산 모드 모두에서 멀티-WAN이 지원됩니다. 이 모든 것이 서비스 가용성을 극대화합니다.
• 레이어 2 네트워킹: L2 네트워킹으로 사이트를 연결할 수 있어 고객의 구성 프로세스를 간소화합니다.
• IPv6.
• 가상 인터페이스: VLAN 및 본딩과 같은 가상 인터페이스. CPE는 유연하게 현장에 배포할 수 있습니다.
• DNS 프록시: 사용자는 인트라넷 DNS를 통해 인트라넷 도메인 이름을 사용하여 인트라넷 웹 서버에 액세스할 수 있습니다.
• 다중 DNS 서버: 각 연결에 대해 서로 다른 DNS 서버를 사용할 수 있으므로 근처의 SaaS 애플리케이션에 지능형 DNS 서비스를 제공할 수 있습니다.
• 레이어 4 방화벽: SmartWAN CPE는 5-튜플 기반의 ACL을 지원하며, 사용자는 Orchestrator에서 정책을 구성할 수 있습니다.
• 보안 영역: 논리적 기반 보안 영역 분할을 통해 별개의 영역에서 데이터 트래픽의 보안 격리를 완벽하게 충족할 수 있어 기업 내 여러 부서로부터의 데이터 격리 요구를 충족할 수 있습니다.
• 4G/5G 및 Wi-Fi 옵션: 직원 수가 적거나 지리적 위치가 자주 바뀌는 지점의 경우 데스크톱 CPE는 4G/5G/Wi-Fi를 지원하여 사용자에게 빠르고 유연하며 편리한 빠른 액세스 및 네트워킹을 제공합니다.
• 권한 및 도메인 기반 관리: 오케스트레이터는 권한의 분산화를 지원하며 권한과 역할 간의 바인딩 관계에 따라 권한을 안전하게 제어하여 권한을 할당합니다.
• 멀티테넌시 관리: SmartWAN은 다양한 기업 사용자를 위한 독립적인 사용자 포털을 제공합니다. 또한 테넌트가 보기를 사용자 지정하고, 테넌트 수준 관리자를 지정하고, 사이트 등의 리소스에 대한 권한을 관리할 수 있습니다.
• 사용자 액세스 인증: 모바일 클라이언트(PC 또는 휴대폰)를 통해 액세스하는 사용자는 인증 포털로 리디렉션됩니다 인증에 성공한 후에만네트워크에 액세스할 수 있으므로 네트워크 액세스 보안을 향상시킬 수 있습니다.
• MPLS 통합: 사설 네트워크 및 파트너 POP의 개념을 도입하여 MPLS와 SmartWAN 백본의 통합을 용이하게 합니다. MPLS와 SmartWAN 네트워크 간의 호환성을 향상시켜 원활한 전환을 촉진합니다.
• 공유 구독: 공유 모드별로 사이트 구독을 집계하여 기업의 SmartWAN 백본에서 구독을 효율적으로 활용할 수 있으며 총 대역폭 소비가 감소하여 고객 비용을 절감할 수 있습니다.
• 오픈 API: SmartWAN은 RESTful API를 기반으로 고객의 시스템과 연동할 수 있는 다양한 오픈 API를 제공합니다.
SmartWAN 모바일 CPE

모바일 CPE는 고객의 PC, 태블릿, 휴대폰에서 실행되는 소프트웨어 클라이언트로, 원격 근무자가 어디서나 엔터프라이즈 애플리케이션에 액세스할 수 있는 안전하고 신뢰할 수 있으며 SLA가 보장된 방법을 제공합니다. 통합 아키텍처를 채택한 Mobile CPE와 SmartWAN CPE는 매우 일관된 기능으로 설계되었습니다. 모바일 CPE는 일반 CPE의 거의 모든 기능을 갖추고 있습니다.
모바일 CPE는 Windows(Windows 7 이상), Android(Android 7.0 이상), iOS(iOS 11 이상), macOS(macOS 10.12 이상) 등 널리 사용되는 다양한 운영 체제에서 실행할 수 있습니다.
모바일 CPE 기능
• 4A 시스템: 모바일 CPE는 계정 관리, 인증, 권한 부여 및 감사 기능을 갖춘 시스템을 갖추고 있으며 기업 고객의 기존 4A 시스템(예: AD 도메인 및 CAS)과 연동할 수 있습니다.
• 중앙 집중식 관리: SmartWAN 오케스트레이터는 고객의 모바일 CPE를 중앙에서 관리하여 기본 스마트 템플릿에 따라 그룹화하고 자동으로 구성하여 안전하고 고성능이며 비용 효율적인 애플리케이션 액세스를 위한 유연한 액세스 제어 및 트래픽 할당을 제공합니다.
• 네트워크 시각화: SmartWAN 오케스트레이터는 시각화된 사용자 포털을 제공하여 고객의 모바일 CPE 및 관련 연결 상태의 차트를 표시합니다. 차트에는 각 모바일 CPE의 지연 시간, 패킷 손실, 처리량 등이 실시간으로 표시됩니다,
를 클릭하고 정책에 따른 트래픽 통계의 세부 정보를 제공합니다.
• 지능형 다중 경로 선택: 모바일 CPE에 대해 여러 경로를 만들 수 있으며, 사용자는 중복으로 작동하는 여러 경로를 통해 인트라넷 서비스 및 SaaS 서비스에 액세스할 수 있습니다. SmartWAN 지능형 경로 선택은 경로를 계속 모니터링하여 트래픽이 항상 SLA 요구 사항을 충족할 수 있는 경로를 사용하고 있는지 확인합니다.
• RTT: 모바일 CPE에서 ZetaTCP TCP 가속 기술과 통합된 RTT 터널을 구축하여 언더레이 네트워크에 대한 패킷 손실의 영향을 완화하고 안정적이고 효율적인 전송을 보장합니다.
• QoS 관리: 애플리케이션을 전송 우선순위에 따라 6개의 별 등급으로 분류할 수 있습니다. 고성능 전송을 보장하기 위해 중요한 애플리케이션에 전용 대역폭을 할당할 수 있으며, 우선순위가 낮은 애플리케이션을 위해 전용 대역폭을 예약할 수도 있습니다.
• 엔드투엔드 보안: 전송 중 고객 데이터의 보안과 무결성을 보장하기 위해 모바일 CPE에서 엔드투엔드 암호화 터널을 설정할 수 있습니다. 터널에는 표준 IPsec 암호화 알고리즘이 채택됩니다.
• 지능형 SLA: 연결에서 사용하는 경로가 합의된 SLA의 요구 사항을 충족하지 못하는 경우, 오케스트레이터는 지능적으로 서비스에 대한 새 경로를 선택합니다. 전환으로 인해 고객 서비스가 중단되지는 않습니다.
• 자동 주변 액세스: 모바일 CPE의 GPS 및 IP를 기반으로 모바일 CPE에 대한 최적의 접속 POP 및 경로가 Orchestrator에 의해 자동으로 선택되어 연결 성능을 보장하고 SLA를 보장합니다.
• 공유 구독: 고객이 구독한 대역폭을 여러 모바일 CPE 간에 공유할 수 있으며, 이는 모바일 CPE의 활성 상태 및 대역폭 사용률에 따라 SmartWAN 플랫폼에서 동적으로 조정됩니다.
• 스마트 DNS: 사용자는 인트라넷 DNS 서버를 통해 인트라넷 애플리케이션에 액세스할 수 있으며 동시에 지정된 DNS 서비스에서 확인을 통해 SaaS 서비스에 액세스할 수 있습니다.
• 자동 업그레이드: 모바일 CPE의 자동 업그레이드 및 리소스 갱신이 지원됩니다.
• 2FA: 모바일 CPE 로그인에 2단계 인증(2FA)이 지원됩니다.
• SSO(싱글 사인온): OAuth2.0 기반 SSO를 지원하여 고객사의
통합 인증 구현을 위한 기존 인증 플랫폼입니다.
• Light CPE: Windows 시스템에서 실행되는 모바일 클라이언트는 Windows의 네트워크 공유 기능을 통해 다른 단말이 SmartWAN 서비스에 액세스할 수 있도록 도와줍니다.
• 운영 환경 확인: Windows OS에서 실행되는 모바일 CPE는 운영 환경과 지정된 애플리케이션의 프로세스를 확인할 수 있습니다. 운영 환경이 필요한 작동 조건을 충족할 수 없는 경우 로그인이 허용되지 않습니다.
SmartWAN 혜택
• 중앙 집중식 관리가 가능한 원스톱 솔루션: SmartWAN은 고객에게 다양한 에지 옵션(하드웨어 CPE, vCPE, 모바일 CPE)과 글로벌 풋프린트를 갖춘 SLA 보장 미들 마일을 포함한 원스톱 솔루션을 제공합니다. 사이트에 인터넷 접속이 가능하기만 하면 엔터프라이즈 네트워크를 구축할 수 있습니다. 사용자는 Orchestrator 사용자 포털에서 네트워크를 구성, 관리 및 모니터링합니다.
• 플러그 앤 플레이(제로 터치 프로비저닝): SmartWAN CPE는 4G/5G 액세스를 통한 활성화를 지원합니다. 전문 IT 인력의 개입 없이 몇 가지 플러그인만으로 CPE를 배포할 수 있습니다.
• 세계 최고 수준의 TCP 가속 기술인 ZetaTCP: 앱엑스의 독점적인 TCP 가속 기술인 ZetaTCP가 RTT 터널에 통합되어 언더레이 네트워크 성능 저하의 영향을 완화하고 네트워크 성능을 크게 개선합니다.
• 지능적인 경로 선택: 연결의 성능이 합의된 SLA를 충족하지 못하면 네트워크의 모든 리소스 상태를 계속 모니터링하는 오케스트레이터가 연결에 대한 SLA 요구 사항을 충족할 수 있는 다른 경로를 지능적으로 선택하게 됩니다. 트래픽은 자동으로 새 경로로 전환됩니다. 전환 시 패킷 손실이 발생하지 않으며 공급업체에 구애받지 않습니다.
• 클라우드 친화적: SmartWAN 백본은 POP를 배포하여 모든 주요 퍼블릭 클라우드 플랫폼으로 범위를 확장합니다. 이를 통해 퍼블릭 클라우드에서 실행되는 고객의 애플리케이션과 주요 SaaS 애플리케이션으로 SLA 보장 서비스를 확장할 수 있습니다. 기업 고객의 클라우드 애플리케이션 및 SaaS 애플리케이션 사용 경험이 크게 최적화될 수 있습니다.
• 맞춤형 개발: SmartWAN 플랫폼은 고객의 특정 요구 사항을 완벽하게 충족할 수 있도록 사용자 지정이 가능합니다.
03. Manual
방화벽 가이드
NDA Required
Hardware CPE Spec Guide
SmartWAN CPE Specifications
Product portfolio
The SmartWAN CPEs are available in the following models:
1. LW1000: Mini router, with five fixed Ethernet ports.
l LW1X05: 20Mbps SmartWAN, 50Mbps Internet, 2G/3G/4G modem and Wireless LAN optional.
2. LW2000: Tabletop. Comes in three different sub models.
l LW2X02: 30Mbps SmartWAN, 60Mbps Internet, 5 ports of fixed GE RJ45, 2G/3G/4G modem and Wireless LAN optional.
l LW2X08: 100Mbps SmartWAN, 350Mbps Internet, 2 ports of fixed GE Combo, 4 ports of fixed GE RJ45, 2G/3G/4G/5G modem and Wireless LAN optional.
l LW2X09: 250Mbps SmartWAN, 500Mbps Internet, 2 ports of fixed GE Combo, 4 ports of fixed GE RJ45, 2G/3G/4G/5G modem and Wireless LAN optional.
3. LW3000: 1U Rack-mount. Comes in four different sub models.
l LW3001v2: 100Mbps SmartWAN, 350Mbps Internet, 2 ports of fixed GE Combo, 4 ports of fixed GE RJ45.
l LW3002v2: 250Mbps SmartWAN, 500Mbps Internet, 2 ports of fixed GE Combo, 4 ports of fixed GE RJ45.
l LW3003v3: 400Mbps SmartWAN, 1Gbps Internet, 6 ports of fixed GE RJ45, 1 Pluggable Interface Module.
l LW3007v3: 800Mbps SmartWAN, 2Gbps Internet, 6 ports of fixed GE RJ45, 1 Pluggable Interface Module.
4. LW7000: 2U Rack-mount. Comes in two different sub models.
l LW7007: 1.5Gbps SmartWAN, 5Gbps Internet, 4 Pluggable Interface Module.
l LW7009: 3Gbps SmartWAN, 7Gbps Internet, 4 Pluggable Interface Module.
5. LWV series: With SmartWAN software image, SD-WAN capability can be enabled on virtual machine or Cloud.
6. Mobile series: Support for Windows, android, macOS and iOS. For more details, refer to the respective documents.
Note: Bandwidth testing complies with RFC 2544 IMIX test with bidirectional traffic and an average packet size of 500 bytes.
Key hardware specifications
|
Item |
LW1000 |
LW2000 |
LW3000 |
LW7000 |
|
Services and Slot Density |
||||
|
Traffic ports |
5 x 10/100/1000Mbps RJ45, 4 x LAN + 1 x WAN |
LW2X02: 5 x 10/100/1000Mbps RJ45 LW2X08/09: 4 x 10/100/1000Mbps RJ45, 2 x 1 Gbps Combo |
LW3001v2: 4 x 10/100/1000Mbps RJ45, 2 x 1 Gbps Combo LW3002: 4 x 10/100/1000Mbps RJ45, 2 x 1 Gbps Combo LW3003v3/07v3: 6 x 10/100/1000Mbps RJ45, 1 Pluggable Interface Module (PIM) slots. PIM Options: 4 x 1 Gbps SFP 2 x 10 Gbps SFP |
4 Pluggable Interface Module (PIM) slots. PIM Options: 2 x 10 Gbps SFP, 4 x 10 Gbps SFP, 8 x 1 Gbps SFP, 8 x 1 Gbps RJ45, 4 x 1 Gbps SFP & 4 x 1 Gbps RJ45 |
|
Bypass |
N/A |
N/A |
1 Pair of Gen3 |
PIM Options: 2 Pair of Gen3 with 4 x 1 Gbps SFP & 4 x 1 Gbps RJ45 |
|
CPU |
MIPS MT7621 |
LW2X02: Marvell 3720 LW2X08: NXP LS1043A LW2X09: Intel Denverton C3558 |
LW3001v2: NXP LS1043A LW3002: Intel Denverton C3558 LW3003v3: Intel Core i3-6100 LW3007v3: Intel Core i7-6700 |
LW7007: Intel Core i7-8700 LW7009: Intel Core i9-9900K |
|
Memory |
DDR3 256MB |
LW2X02: DDR3 1GB LW2X08: DDR4 2GB LW2X09: DDR4 8GB |
LW3001v2: DDR4 2GB LW3002: DDR4 8GB LW3003v3: DDR4 4GB/8GB LW3007v3: DDR4 8GB/16GB |
LW7007: DDR4 16GB/32GB LW7009: DDR4 64GB |
|
NAND storage |
32MB Flash |
LW2X02: 4GB EMMC LW2X08: 16GB EMMC LW2X09: 16GB/32GB EMMC |
LW3001v2:16GB EMMC LW3002: 32GB EMMC LW3003v3/07v3: 32GB SSD |
60GB SSD |
|
4G LTE |
Optional LTE-AE / LTE-NA |
Optional LTE-AE / LTE-NA |
N/A |
N/A |
|
5G NR |
N/A |
Optional with LW2X08/09 |
N/A |
N/A |
|
WIFI |
Optional: 802.11b/g/n |
Optional: 802.11b/g/n |
N/A |
N/A |
|
Serial console port |
N/A |
1 RJ-45 |
1 RJ-45 |
1 RJ-45 |
|
Management port |
N/A |
1 RJ-45 10/100/1000 |
1 RJ-45 10/100/1000 |
1 RJ-45 10/100/1000 |
|
Fans |
N/A (fanless) |
LW2X02/08: N/A (fanless) LW2X09: 1 |
LW3001v2: 2 LW3002: 2 LW3003v3/07v3: 4 |
3 |
|
Power Specifications |
||||
|
Power supply option |
External AC-DC power adapter |
External AC-DC power adapter |
Internal AC power adapter |
Internal AC power adapter |
|
Redundant power supply support |
N/A |
N/A |
Optional with LW3002/03v3/07v3 |
Yes |
|
AC input voltage |
100-240V |
100-240V |
100-240V |
100-240V |
|
Typical power consumption |
24W |
LW2X02/08: 24W LW2X09: 60W |
LW3001v2: 65W LW3002: 60W LW3003v3/07v3: 250W |
300W |
|
Physical Specifications (For reference only) |
||||
|
Size (W x D x H) |
160 x 110 x 30 mm |
LW2X02: 275 x 175 x 44 mm LW2X08: 275 x 174 x 44 mm LW2X09: 240 x 199 x 44 mm |
LW3001v2: 430 x 294 x 44.5 mm LW3002: 430 x 300 x 44.5 mm LW3003v3/07v3: 440 x 500 x 44 mm |
550 x 440 x 88 mm |
|
Weight (G.W. / N.W.) |
1.0Kg / 0.5Kg |
LW2X02: 2.4Kg / 1.3Kg LW2X08: 2.4Kg / 1.3Kg LW2X09: 3.8Kg / 2.8Kg |
LW3001v2: 6.4Kg / 3.5Kg LW3002: 8.4kg / 5.6kg LW3003v3/07v3: 14Kg / 10Kg |
21.5Kg / 18.5Kg |
|
Package size (W x D x H) |
313 x 277 x 73 mm |
LW2X02/08: 350 x 260 x 105 mm LW2X09: 300 x 240 x 100 mm |
LW3001v2: 535 x 410 x 180 mm LW3002: 560 x 530 x 215 mm LW3003v3/07v3: 615 x 547 x 188 mm |
740 x 580 x 260 mm |
|
Operating/Storage Condition |
||||
|
Temperature |
0 to 40℃ (Operating) -20 to 70℃ (Storage) |
0 to 40℃ (Operating) -20 to 70℃ (Storage) |
0 to 40℃ (Operating) -20 to 70℃ (Storage) |
0 to 40℃ (Operating) -20 to 70℃ (Storage) |
|
Humidity |
10 to 85%RH(Operating) 5 to 95%RH (Storage) |
10 to 85%RH(Operating) 5 to 95%RH (Storage) |
10 to 85%RH(Operating) 5 to 95%RH (Storage) |
10 to 85%RH(Operating) 5 to 95%RH (Storage) |
|
Regulatory Compliance |
||||
|
EMC |
N/A |
LW2X09: CE; FCC |
CE; FCC |
CE; FCC |
4G/LTE bands supported
|
Region |
LTE-AE |
LTE-NA |
|
LTE Bands |
B1(FDD 2100MHz) B3(FDD 1800MHz) B5(FDD 850MHz) B8(FDD 900MHz) B34(TDD 2000MHz) B38(TDD 2600MHz) B39(FDD 1900MHz) B40(FDD 2300MHz) B41(FDD 2500MHz) |
B2(FDD 1900MHz) B4(FDD AWS1700MHz) B5(FDD 850MHz) B12(FDD 700MHz) |
|
Australia |
Yes |
|
|
Canada |
|
Yes |
|
China |
Yes |
|
|
Europe |
Yes |
|
|
Japan |
Yes |
|
|
Middle East |
Yes |
|
|
South Africa |
Yes |
|
|
South Korea |
Yes |
|
|
Thailand |
Yes |
|
|
United States |
|
Yes |
5G bands supported
|
Mode |
Band |
|
5G NR |
5G NR Sub-6G: n1/2/3/5/7/8/20/28/41/66/71/77/78/79 |
|
5G UL MIMO |
n77/78/79/41 |
|
EN-DC |
4G+n77/78/79/41 |
|
4G LTE |
B1/2/3/4(66)/5/7/8/12(17)/13/14/20/25/26/28/29/30/38/39/40/41/42/43/46/48/71 |
Wireless LAN specifications
|
Item |
2.4GHz |
|
Models |
LW1305, LW2302, LW2308, LW2508, LW2309, LW2509 |
|
Protocols |
IEEE 802.11b/g/n |
|
Channel bandwidth |
20Mhz or 40Mhz |
|
Concurrent clients |
Up to 50 |
|
Wireless Security and Authentication |
|
|
Wireless Encryption |
AES |
|
WLAN antennas |
External |
Ordering information
|
SKU |
SKU Description |
|
LW1005 |
Basic type with external power supply, 5 Ethernet ports and cable |
|
LW1305 |
LW1005, with 4G/LTE, 802.11b/g/n and antennas |
|
LW1005-1U |
LW1005, with 1U Rack-mount and Internal AC power adapter |
|
LW2002 |
Basic type with external power supply, 5 Ethernet ports and cable |
|
LW2302 |
LW2002, with 4G/LTE, 802.11b/g/n and antennas |
|
LW2008 |
Basic type with external power supply, 4x RJ45 ports, 2x 1GE Combo ports and cable |
|
LW2308 |
LW2008, with 4G/LTE, 802.11b/g/n and antennas |
|
LW2508 |
LW2008, with 5G NR, 802.11b/g/n and antennas |
|
LW2008-1U |
LW2008, with 1U Rack-mount and Internal AC power adapter |
|
LW2009 |
Basic type with external power supply, 4x RJ45 ports, 2x 1GE Combo ports and cable |
|
LW2309 |
LW2009, with 4G/LTE, 802.11b/g/n and antennas |
|
LW2509 |
LW2009, with 5G NR, 802.11b/g/n and antennas |
|
Basic type with 4x RJ45 ports, 2x 1GE Combo ports and cable |
|
|
LW3002 |
Basic type with 4x RJ45 ports, 2x 1GE Combo ports and cable |
|
LW3003v3 |
Basic type with 6x RJ45 ports and cable |
|
LW3007v3 |
Basic type with 6x RJ45 ports and cable |
|
LW7007 |
Basic type with cable |
|
LW7009 |
Basic type with cable |
|
PIM-4XGE-SFP |
4x 1GE SFP PIM for LW3000 |
|
PIM-2X10GE-SFP |
2x 10GE SFP PIM for LW7000 |
|
PIM-4X10GE-SFP |
4x 10GE SFP PIM for LW7000 |
|
PIM-8XGE-SFP |
8x 1GE SFP PIM for LW7000 |
|
PIM-8XGE-RJ45 |
8x 1GE RJ45 PIM for LW7000, with two pairs G3 bypass |
|
PIM-4XGE-RJ45-4XGE-SFP |
4x 1GE SFP + 4x 1GE RJ45 PIM for LW7000, with two pairs G3 bypass |
Mobile CPE(Client) Guide
SmartWAN 모바일 클라이언트 사양
SmartWAN은 SDN 및 WAN 최적화 기술을 기반으로 하는 차세대 엔터프라이즈 네트워크 서비스 플랫폼으로, 고객에게 엔터프라이즈 네트워킹, 클라우드 연결 및 SaaS 액세스 최적화 서비스를 제공합니다. 전 세계에 600개 이상의 POP 노드를 배포한 SmartWAN은 중앙 컨트롤러를 통해 전체 네트워크 리소스를 지능적``으로 스케줄링하여 기업에 전 세계로 연결되는 고속 상호 연결 네트워크를 제공합니다.
SmartWAN 모바일
통합 크로스 플랫폼 아키텍처를 사용하여 설계 및 개발되었으며, 기능의 일관성이 높고 Windows(Windows 7 이상), Android(Android 7.0 이상), iOS(iOS11 이상), macOS(macOS10.12 이상), UOS등 광범위한 공통 운영 체제를 지원합니다.
모바일 Client 작동 방식
모바일 시스템 기능
• 애플리케이션 시장: 주류 애플리케이션 시장이 형성되고 있습니다.
|
|
Windows(컴퓨터) |
Android(운영 체제) |
macOS |
iOS |
|
애플리케이션 마켓플레이스 |
- |
앱스토어, 360, 구글 플레이 |
Apple 앱 스토어 |
Apple 앱 스토어 |
• 2단계 인증: SMS 인증을 지원합니다.
• LDAP 인증: Windows AD 도메인 등의 형태로 원격 인증을 지원합니다.
• 중앙 집중식 관리: 지능형 템플릿을 통해 모바일을 그룹화, 구성 및 관리하면 유연한 액세스 제어 및 트래픽 분배가 가능합니다. 그룹화는 LDAP에서 조직 단위 읽기를 지원합니다.
• 전체 네트워크 시각화: 모바일 보고서는 Orchestrator에서 직관적으로 표시할 수 있으며, 고객은 그룹화를 기반으로 모바일의 상태와 트래픽 및 기타 통계를 파악할 수 있습니다.
• 자동 업그레이드: 다양한 리소스의 자동 업데이트 및 자동 업그레이드를 지원합니다.
• OEM 사용자 지정: 고객의 필요에 따라 맞춤형 전용 버전을 지원합니다.
• 디지털 서명: Windows 버전은 Microsoft EV 코드 서명의 인증을 받았으며 Windows 시스템용 무인 설치를 지원합니다.
모바일 네트워크 기능
SmartWAN Mobile은 아웃바운드 및 인바운드 트래픽을 처리하는 필터링 모듈과 정책 엔진 모듈의 두 가지 모듈로 구성되어 있습니다.
필터링
필터링 모듈은 고객 네트워크 트래픽을 필터링하고, 요구 사항을 충족하는 트래픽은 정책 엔진 모듈로 보내고, 그 외의 트래픽은 최종 시스템으로 직접 보내 처리하는 역할을 담당합니다.
• 독점 필터링: 다양한 시스템에서 IP 세트 또는 애플리케이션 목록과 같은 규칙 정의를 지원하며, 정의된 규칙과 일치하는 트래픽은 처리를 위해 단말 시스템으로 직접 전송되어 성능과 고객 접속 환경을 최적화합니다.
• 포괄적 필터링: 시스템마다 IP 세트 또는 애플리케이션 목록과 같은 규칙 정의를 지원합니다. 정의된 규칙과 일치하지 않는 트래픽은 인터넷으로 전송 처리되고, 정의된 규칙과 일치하는 트래픽은 정책 엔진 모듈(RTT, 가속터널)로 전송됩니다.
|
필터링 |
Windows(컴퓨터) |
Android(운영 체제) |
macOS |
iOS |
|
|
IP 수집 |
예 |
아니요 |
예 |
로드맵 V4.0 |
|
|
애플리케이션 목록 |
로드맵 V4.0 |
예 |
로드맵 V4.0 |
로드맵 V4.0 |
|
|
포괄적 필터링 |
IP 수집 |
예 |
예 |
예 |
로드맵 V4.0 |
|
애플리케이션 목록 |
로드맵 V4.0 |
예 |
로드맵 V4.0 |
로드맵 V4.0 |
|
정책 엔진
정책 엔진 모듈은 트래픽을 분류하고 네트워킹 및 SaaS 액세스 최적화와 같은 서비스를 제공합니다.
• 네트워킹: SmartWAN을 통해 본사 및 지사 인트라넷, 데이터 센터, 프라이빗 클라우드 등에 직접 액세스할 수 있도록 도메인 이름 또는 IP 집합을 정의할 수 있습니다.
• SaaS 액세스 최적화: 도메인 이름 또는 IP 집합의 정의를 지원하여 SmartWAN을 통해 SaaS 서비스에 액세스할 때 액세스 환경을 최적화합니다.
• 지능형 DNS: 지능형 DNS는 인트라넷 및 SaaS 액세스를 위한 방향성 확인을 지원합니다. 고객은 인트라넷 DNS를 사용하여 인트라넷 도메인 이름을 통해 인트라넷 서버에 액세스할 수 있으며, 동시에 방향성 DNS 확인을 사용하여 SaaS 서비스에 액세스할 수도 있습니다. 지능형 DNS는 SmartWAN이 그룹 네트워크 서비스, SaaS 액세스 최적화 서비스, 인근 인터넷에 대한 일반 트래픽 액세스를 동시에 제공할 수 있는 병렬 서비스를 제공할 수 있는 기능을 제공합니다. 이것이 SmartWAN과 일반 VPN 서비스의 가장 큰 차이점입니다.
• 자동 근접 액세스: 고객의 네트워크 품질을 보호하기 위해 최적의 액세스 POP와 링크를 자동으로 선택합니다.
• 여러 경로의 지능적 선택: 모바일은 서로 다른 경로를 통해 인트라넷 서비스와 SaaS 서비스에 동시에 액세스할 수 있는 여러 경로를 만들 수 있으며, 동일한 서비스가 여러 경로를 기본 및 백업으로 선택할 수 있으며, SmartWAN은 경로의 품질과 사전 설정된 SLA 및 기타 요인에 따라 모바일에 대한 최적의 경로를 지능적으로 선택합니다. 경로 전환으로 인해 고객의 서비스가 중단되지 않으므로 고객 애플리케이션의 SLA와 서비스 안정성이 보장됩니다.
• RTT(리얼타임 TCP 터널): 통합 WAN 최적화 기술로 모바일을 위한 매우 빠른 가상 채널을 생성하여 물리적 링크 패킷 손실을 없애고 고객에게 네트워크 전송 효율성과 안정성을 보장합니다.
• QoS 관리: 애플리케이션을 6개의 별 등급으로 분류하고 별 등급에 따라 속도 제한, 대역폭 보장, 우선순위 정책 등의 서비스를 제공합니다.
시나리오의 예
시나리오 1 고객이 Android 휴대폰을 사용하여 Office365와 같은 글로벌 SaaS에 액세스하는 경우
1단계: 필터링 모듈
1) 일반적으로 사용되는 국내 앱 목록에 전용 필터링이 추가되며, 고객의 네트워크 트래픽 중 이 규칙과 일치하는 부분은 안드로이드 시스템으로 직접 전송되어 처리되므로 국내 앱에 대한 고객의 액세스에는 영향을 미치지 않습니다;
2) 포괄적 필터링이 외부 IP 컬렉션에 추가되면 이 규칙과 일치하는 고객 네트워크 트래픽이 정책 엔진 모듈로 들어가서 Office365 및 기타 외부 SaaS에 대한 액세스를 자유롭게 허용.
2단계: 정책 엔진 모듈
1) Office365와 같은 사전 정의된 외부 SaaS 액세스 최적화 정책;
2) Orchestrator 제어하에 있는 SmartWAN Mobile은 위의 정책에 따라 랜딩된 POP에 대한 RTT 터널을 설정합니다;
3) 위 정책과 일치하는 고객 네트워크 트래픽은 RTT 터널을 통해 Office365와 같은 외부 SaaS에 액세스합니다;
4) 다른 트래픽이 근처에 있는 인터넷에 액세스합니다.
시나리오 2 고객이 Windows PC를 사용하여 회사 인트라넷과 Office365와 같은 SaaS에 동시에 액세스하는 경우
1단계: 필터링 모듈
1) IP 수집에 전용 필터링이 추가되면 이 규칙과 일치하는 고객 네트워크 트래픽이 Windows 시스템으로 직접 전송되어 처리되므로 해당 국가에 대한 고객 액세스에 영향을 미치지 않습니다;
2) 포괄적 필터링은 정의할 필요가 없으며, 제외 필터링과 일치하지 않는 모든 트래픽은 정책 엔진 모듈로 이동합니다.
2단계: 정책 엔진 모듈
1) 사전 정의된 인트라넷 액세스 정책 및 Office365 및 기타 외부 SaaS 액세스 최적화 정책;
2) 회사 CPE에 RTT 터널을 설정합니다. 인트라넷 액세스 정책과 일치하는 클라이언트 네트워크 트래픽은 RTT 터널을 통해 회사 인트라넷에 액세스합니다;
3) 랜딩 POP에 대한 RTT 터널 설정, Office365 및 기타 글로벌 SaaS에 액세스하기 위해 RTT 터널을 통해 SaaS 액세스 최적화 정책까지 모두 동일하게 적용됩니다.;
4) 기타 외부향(인터넷) 트래픽은 Windows 시스템 로컬 WAN에서 네트워크에 액세스합니다.
Quick Start Guide
이 문서는 SmartWAN Orchestrator 사용자 매뉴얼입니다. 이미지를 포함한 실제 활용을 위해서는 담당 컨설팅 SE에게 문의해 주십시오.
이 문서의 내용은 서비스 품질 개선을 위해 별도의 통지 없이 변경될 수 있습니다.
This document is subject to change without notice to enhance the quality of SmartWAN service.
1 SmartWAN 소개
2 SmartWAN 시작하기
2.1 주요 용어 설명
여기서는 SmartWAN에서 사용되는 주요 용어를 설명한다. 이 절에서 설명하지 않는 용어에 대해서는 별도로 제공되는 관리자 매뉴얼 및 사용자 매뉴얼을 참조한다.
2.1.1 Site
Site는 논리적인 지역 위치를 나타낸다. SmartWAN 사용자는 Site를 생성하고, Site에 CPE를 추가하여 SmartWAN 인프라 안에서 사용자 회사 만의 Overlay network를 구성할 수 있다.
2.1.2 CPE
CPE는 SmartWAN에 연결하기 위해 필요한 장비로, 네트워크 구성에 따라 물리적 장비를 사용할 수도 있고 가상 머신을 사용할 수도 있다. CPE를 추가하려면 반드시 Site를 먼저 생성해야 한다.
2.1.3 Topology
Topology는 Site 간의 네트워크 연결로 이루어진 Overlay network 구성을 나타낸다. Topology 화면에서
2.1.4 Policy
Policy는
2.2 Site 설정
SmartWAN을 통해 브랜치 간 네트워크를 연결하려면 먼저 각 브랜치에 대한 Site를 만들어야 한다.
2.2.1 새 Site 만들기
새로운 Site를 만드는 절차는 다음과 같다.
1. Orchestrator의 Site 화면에서 “+” 버튼을 클릭한다.
[그림] 새로운 Site 생성 버튼
2. 화면 우측의 Add Site 영역에 새로 생성할 Site 정보를 입력한다.
[그림] 새로운 Site 정보 입력 화면
이 화면에 입력할 정보에 대해서는 다음 표를 참고한다.
|
입력 항목 |
설명 |
필수 |
비고 |
|
Region |
Site의 대륙 단위 정보를 선택한다. |
Y |
|
|
Location |
Site가 위치한 국가와 도시를 선택한다. |
N |
국가를 먼저 선택하면, 선택한 국가에 맞는 도시 목록이 나타난다. |
|
Address |
Site의 상세 주소를 입력한다. |
N |
|
|
Site Name |
Site 이름을 입력한다. |
Y |
중복 불가능 |
|
Site Group |
Site Group 이름을 입력한다. |
N |
|
3. Site의 LAN 정보를 입력한다.
Site의 LAN은 네트워크 유형에 따라 BGP, OSPF 등 라우팅 프로토콜을 이용해 동적으로 설정할 수도 있으며, Local Subnet과 Nexthop 정보를 입력해 수동으로 설정할 수도 있다.
[그림] Site LAN 설정 화면 (Dynamic)
[그림] Site LAN 설정 화면 (Manual)
4. Site의 WAN 정보를 입력한다.
[그림] WAN 정보 입력 화면
이 화면에 입력할 정보에 대해서는 다음 표를 참고한다.
|
입력 항목 |
설명 |
필수 |
비고 |
|
Type |
Site에서 사용하는 WAN 회선의 서비스 유형을 선택한다. |
Y |
네트워크 유형을 모를 경우 ISP에 문의한다. |
|
Master IP |
WAN 회선에 할당된 대표 IP를 입력한다. |
N |
|
|
Netmask |
WAN 회선에 할당된 Network mask를 입력한다. |
N |
|
|
Bandwidth |
WAN 회선의 네트워크 대역폭을 입력한다. |
N |
단위는 Mb/s이다. |
|
Name |
WAN 회선의 이름을 입력한다. |
Y |
10글자를 초과할 수 없음 |
Site에서 두 개 이상의 WAN 회선을 사용 중이며, SmartWAN 연결에 두 WAN 회선을 모두 사용할 경우, 화면 하단의 “Add New WAN” 버튼을 클릭해 새로운 WAN을 추가한다.
2.2.2 CPE 추가하기
새로운 Site를 만들고 나면, CPE를 추가하여 실제 네트워크를 연결해야 한다. 한 Site에는 하나의 CPE만을 배치할 수 있다. CPE를 추가하는 절차는 다음과 같다.
1. Site 화면 하단의 “Add CPE” 버튼 클릭
[그림] CPE 추가 버튼
2. High Availability 사용 여부 설정
[그림] High Availability 설정 화면
[QUESTION] How does the “High Availability” work in SmartWAN? What does the customer need to know to enable HA?
3. Access Audit 설정
[그림] Access Audit 설정 화면
[QUESTION] Access Audit에서 “Default”가 의미하는 것은 무엇인가? On인가 Off인가? 아니면 다른 설정인가?
4. Keepalive 설정
[그림] Keepalive 설정 화면
Keepalive 설정은 CPE와 SmartWAN Orchestrator의 연결을 감시할 때 사용하는 기능이다. 여기서 설정한 Timeout (second) 이상 Orchestrator의 heartbeat 체크에 실패하면 CPE가 연결되지 않은 상태로 변경된다.
5. CPE 유형 및 모델 선택
SmartWAN CPE의 유형 및 모델을 선택한다. CPE 유형은 Physical CPE와 Virtual CPE가 있으며, CPE 유형에 따라 선택할 수 있는 모델도 다르다. Site에서 사용할 CPE의 유형과 모델은 SKT와 체결한 계약에 따라 다르기 때문에, SKT기술 지원 담당자에게 자세한 정보를 확인하도록 한다.
CPE 모델이 달라도 기본적인 설정 방법에는 큰 차이가 없으므로 이 가이드에서는 LW3001 Physical CPE를 기준으로 설명한다. 다른 CPE에 대해서는 사용자 매뉴얼을 참조한다.
[그림] CPE 유형 및 모델 선택 화면
6. CPE LAN 설정
CPE를 통해 SmartWAN에 연결할 LAN을 설정한다. LW3001 모델은 eth0 포트가 LAN에 연결하도록 설정되어 있다. 아래 화면의 이미지에서 eth0 포트를 클릭하면 LAN 포트를 설정할 수 있다.
[그림] LW3001 CPE LAN 설정 화면
이 화면에 입력할 정보는 아래 표를 참고한다.[1]
|
입력 항목 |
설명 |
필수 |
비고 |
|
Protocol |
LAN 포트의 IP 할당 방식을 선택한다. 일반적인 NAT 방식의 LAN 구성에서는 Static 구성을 권장한다. |
Y |
|
|
IP Address |
LAN 포트의 IP 주소를 지정한다. |
Y |
Static 구성 시만 유효함 |
|
Netmask |
LAN의 Netmask를 지정한다. |
Y |
Static 구성 시만 유효함 |
|
Auto Negotiation |
LAN 포트 자동 네고시에이션 사용 여부 |
|
|
|
DHCP |
CPE의 DHCP 기능 사용 여부 설정 Server: CPE가 LAN의 DHCP 서버로 동작 DHCP Relay: CPE가 DHCP 요청/응답을 전달 Off: DHCP 기능 사용하지 않음 |
|
|
|
DHCP Start |
DHCP 서버의 IP 할당 범위 (시작 IP)[2] |
Y |
Server일 경우에만 유효함 |
|
DHCP End |
DHCP 서버의 IP 할당 범위 (끝 IP) |
Y |
Server일 경우에만 유효함 |
|
Lease Time |
DHCP IP 임대 시간 |
Y |
|
|
DNS |
DHCP에서 할당할 DNS 서버 IP 주소 |
N |
|
7. CPE WAN 설정
CPE가 SmartWAN Orchestrator에 접속하고 Site 간 링크를 통해 데이터를 전송할 수 있도록 WAN 포트를 설정해야 한다. WAN 포트를 설정하려면 아래 그림과 같이 이미지에서 eth1 포트를 선택한다.
[그림] WAN 포트 선택 화면
CPE 포트를 선택하면 아래 그림과 같이 WAN 포트 설정 화면이 표시된다.
[그림] CPE WAN 포트 설정 화면
이 화면에 입력할 정보는 아래 표를 참조한다.[3]
|
입력 항목 |
설명 |
필수 |
비고 |
|
Protocol |
WAN 포트의 IP 할당 방식을 선택한다. WAN 회선의 IP 할당 방식은 계약된 ISP에 문의한다. |
Y |
|
|
DNS |
WAN 회선의 DNS 서버 주소를 설정한다. 최대 2개까지 설정할 수 있다. |
N |
DNS 주소를 추가하려면 우측의 “+”를 클릭한다. |
|
SNAT |
NAT 환경에서 LAN 포트 트래픽의 Source IP를 WAN 포트에 할당된 주소로 변환하고자 할 때 사용한다. |
N |
NAT의 Masquerading 기능이다. |
|
SLA |
|
N |
|
|
Orchestrator Connection |
SmartWAN CPE가 Orchestrator에 접속할 때 이 WAN 포트를 이용할지 여부를 설정한다. |
N |
|
2.2.3 CPE ZTP (Zero Touch Provisioning)
CPE를 추가하고 나면, SmartWAN에 CPE를 등록하는 과정 (Provisioning)이 필요하다. SmartWAN CPE는 ZTPZero Touch Provisioning을 지원하기 때문에, 사용자가 간단한 절차를 통해 CPE를 등록할 수 있다.
CPE의 ZTP는 다음 절차를 따라 진행한다.
위 2.2.2 절차를 완료하고 나면 아래 그림과 같이 CPE ID가 부여되며 CPE를 주문하거나, 현재 보유한 CPE를 연결할 수 있다.
[그림] 새로 추가된 CPE 정보
2.2.3.1 새 CPE 주문
1. CPE 주문
[그림] CPE 주문 화면
기존에 보유한 CPE가 없을 경우 새로운 CPE를 주문할 수 있다. 위 화면에서 “Order” 버튼을 누르면 다음 그림과 같이 CPE 주문 화면이 표시된다.
이 화면에 입력할 내용은 다음 표를 참조한다.
|
입력 항목 |
설명 |
필수 |
비고 |
|
Region |
CPE가 설치될 Site의 대륙 정보를 선택한다. |
Y |
Site 정보와 일치해야 한다. |
|
Location |
CPE가 설치될 Site의 국가 및 도시 정보를 선택한다. |
N |
|
|
Address |
CPE의 배송지 주소를 입력한다. |
Y |
|
|
Zip Code |
CPE 배송지의 우편번호를 입력한다. |
N |
|
|
Full Name |
CPE를 받을 수신인 이름을 입력한다. |
N |
|
|
Phone Number |
CPE를 받을 배송지의 전화 번호를 입력한다. |
Y |
|
|
|
CPE를 받을 수신신의 메일 주소를 입력한다. 이 메일 주소로 CPE의 ZTP 코드가 전송되므로 메일 주소를 정확하게 입력해야 한다. |
Y |
|
|
Additional Information |
배송에 필요한 기타 정보를 입력한다. |
N |
사서함 번호 등 |
위 정보를 모두 정확하게 입력하고 “Save and ship to this address” 버튼을 누르면 CPE 주문이 접수되며, SKT에서 지정된 사이트 정보에 따라 CPE를 제작하고 발송하게 된다. 또한, 다음 그림과 같이 ZTP 코드를 메일로 보낼 수 있는 창이 나타난다. 아래 그림에서 메일 수신자 등 정보를 확인하고, “Send Email” 버튼을 누르면 메일로 ZTP Activation 코드가 전송된다.
[그림] ZTP Activation 메일 발송 화면
이 상태에서 Site 목록을 확인하면 새로 추가한 Site의 상태가 “Processing” 상태로 변경되었음을 확인할 수 있다.
[그림] Site 상태 확인 화면
2. CPE 배송
SKT에서 CPE를 제작하고 설정한 후 발송하고 나면, CPE 배송 상태를 “발송” 상태로 변경하게 된다. (이 과정은 사용자가 할 수 없다.)
배송 중 상태로 변경된 것은 아래와 같이 Site 목록에서도 확인할 수 있다.
[그림] CPE 배송 중 상태 화면
3. CPE 수령
발송된 CPE를 배송 받으면, Orchestrator의 CPE 상태를 “수령” 상태로 변경해야 한다.
Site 우측의 CPE 화면에서 “Received” 버튼을 눌러 CPE 상태를 “수령”으로 변경할 수 있다.
[그림] CPE 상태 변경 화면
“Received?” 버튼을 클릭하면 이제 ZTP를 이용해 CPE를 Provisioning 할 수 있는 상태로 변경된다.
[그림] 수령한 CPE Activation 대기 상태 화면
2.2.3.2 기 보유한 CPE 활용
만약 물리적 CPE 또는 Virtual CPE를 이미 보유하고 있다면 위 2.2.3.1 절에서 설명한 절차 (CPE 주문, 제작 및 배송)를 모두 건너뛸 수 있다.
보유하고 있는 CPE를 활용하려면, CPE를 추가한 후 다음 그림과 같이 “Already Have a CPE” 버튼을 누른다.
[그림] 보유하고 있는 CPE 활용 화면
이렇게 하면 바로 아래 그림과 같이 Activation 대기 상태로 바뀌는 것을 볼 수 있다.
[그림] 보유하고 있는 CPE의 Activation 대기 상태 화면
2.2.3.3 ZTP Provisioning
위 2.2.3.1절 또는 2.2.3.2 절에서 설명한 과정을 거치면 CPE의 Provisioning 준비가 완료된 것이다. 이제 사이트의 네트워크 설정 정보 및 Orchestrator 접속 정보 등을 CPE에 설정하여 SmartWAN에 연결하는 것이 CPE ZTP의 마지막 단계이다.
ZTP는 CPE에 내장된 웹 페이지에 접속함으로써 이루어진다. CPE의 웹 페이지 주소는 다음 두 가지 방법을 통해 확인할 수 있다.
1. Orchestrator의 “Activation” 버튼 클릭
2. CPE 주문 과정에서 메일로 발송된 정보 확인
위 두 가지 방법 중 하나를 선택하면 아래 그림과 같이 ZTP에 사용할 URL 정보를 얻을 수 있다.
[그림] CPE ZTP URL 정보
위 그림에서 붉은 색으로 표시된 URL 정보를 클립보드로 복사하여 웹 브라우저에 붙여 넣고 접속하면 네트워크 설정 정보 및 Orchestrator 접속 정보들이 CPE에 기록되어 SmartWAN에 접속할 수 있게 된다.
2.2.3.2 절에 따라 기존에 사용하던 CPE를 다시 설정했다면, 반드시 CPE를 다시 시작해야 SmartWAN에 접속할 수 있다.
CPE가 정상적으로 Provisioning 되었다면 아래 그림과 같이 상태가 Active로 바뀌게 된다. 만약 CPE 상태가 Pending 또는 Processing 상태로 표시된다면 ZTP 과정에 문제가 있는 것이므로 SKT에 문의한다.
2.3 [TBD] Topology 설정
2.4 [TBD] Policy 설정
3 [TBD] Troubleshooting
[1] 이 가이드에서는 LAN 포트 설정의 Advanced 항목은 기본값을 사용하는 것으로 가정한다. Advanced 설정의 상세한 설정 방법은 사용자 매뉴얼을 참고한다.
[2] DHCP Start와 DHCP End IP를 설정할 때는 Subnet 계산기 등을 이용해 할당 가능한 IP 대역을 입력해야 한다.
[3] 이 가이드에서는 WAN 포트 설정의 Advanced 항목은 기본값을 사용하는 것으로 가정한다. Advanced 설정의 상세한 설정 방법은 사용자 매뉴얼을 참고한다.
XDR/SDP/ZTNA 표준 Spec
1. XDR/SIEM 통합 모니터링용 Spec 서버 수량
|
환경 |
베어메탈서버 |
컴포넌트 |
하위 컴포넌트 |
H/W 사양 (C/R/D) |
|
Production |
Server #1 |
SIEM |
SIEM Master |
Xeon 24C 48T * 2/256GB/12TB SSD * 10 |
|
SIEM Worker #1 |
||||
|
SIEM Data #1 |
||||
|
Data Warehouse |
Frontend #1 |
|||
|
Backend #1 |
||||
|
Threat Intelligence |
CTI Engine |
|||
|
API |
Backend API Server |
|||
|
SBOM |
SBOM Server |
|||
|
Msg Receiver |
Kafka Node #1 |
|||
|
rsyslog Server |
||||
|
Server #2 |
SIEM |
SIEM Worker #2 |
Xeon 24C 48T * 2/256GB/12TB SSD * 10 |
|
|
SIEM Data Collector #1 |
||||
|
SIEM Data #2 |
||||
|
Data Warehouse |
Frontend #2 |
|||
|
Backend #1 |
||||
|
SBOM |
SBOM Database |
|||
|
Msg Receiver |
Kafka Node #2 |
|||
|
rsyslog Server |
||||
|
Flow Analysis |
Flow Collector/Analyzer |
|||
|
Server #3 |
SIEM |
SIEM Worker #3 |
Xeon 24C 48T * 2/256GB/12TB SSD * 10 |
|
|
SIEM Data Collector #2 |
||||
|
SIEM Data #3 |
||||
|
Data Warehouse |
Frontend #3 |
|||
|
Backend #1 |
||||
|
Msg Receiver |
Kafka Node #3 |
|||
|
rsyslog Server |
||||
|
Flow Analysis |
Flow Collector/Analyzer |
|||
|
Server #4 |
Key Cloak |
Authentication & Multi-Tenant |
Xeon 24C 48T * 2/256GB/12TB SSD * 10 |
|
|
Frontend |
Frontend API Server |
|||
|
Staging |
Server1~4 |
동일 항목 |
동일항목 |
Xeon 24C 48T * 2/256GB/12TB SSD * 10 |
2. SDP(ZTNA( Spec 서버 수량
|
구분 |
항목 |
내용 |
수량 |
비고 |
|
서버 |
CPU |
Intel Xeon Gold 이상24 core 2.4Hz 이상 x2 |
6 |
IDC당 3식 |
|
Memory |
128GB |
|||
|
SSD |
1TB x2 |
|||
|
HDD |
12TB x4 |
|||
|
NIC |
10G SFP+ x4 이상1G x2 이상 |
04. Marketing Docs
Light Version
[Light][SmartWAN] 플랫폼_250406_BFV20V11W_Static.pdf
05. Markov(ProactiveXDR) Key Features
This chapter explains the key features of OpenSASE.
Introduction
This document will be continuously updated, and not all the features presented may be fully implemented.
Some parts of the content are based on the Markov project.
Overview
Unified Security Platform is to provide real-time security monitoring and response services to the customers.
This document describes the key concepts of the platform and provides key features under development.
Architecture
Technical Architecture
This diagram illustrates the end-to-end architecture of the SmartWAN service platform, integrating presentation, business logic, and data layers. The system leverages modern technologies including Vue.js/Spring Boot for frontend/backend, Kafka for real-time data streaming, and Elasticsearch for analytics. All services are deployed on Linux environments, with RESTful APIs enabling seamless communication between modules.
Defense-in-Depth security model
This architecture diagram maps the key security controls required in each layer of the Defense-in-Depth security model and illustrates how they are supported by this integrated security platform.
The platform is capable of collecting and monitoring logs generated from the security controls highlighted in purple within each layer.
This visual representation clearly demonstrates the scope and capabilities of the integrated security platform across the various layers of the Defense-in-Depth model.
Key Concepts of the Platform
Unified Security Monitoring
The platform integrates traditional on-premises data center security features with cloud environment security capabilities, enabling comprehensive monitoring from a single, unified interface.
This convergence allows customers to maintain consistent security visibility across hybrid infrastructures.
Versatile Data Collection and Analysis
Employing both agent-based and agentless approaches, the platform collects a wide array of log data and vulnerability assessment information.
This multi-faceted data gathering strategy enables thorough security analysis, providing a comprehensive view of the customer’s security posture.
Advanced Security Data Lake
Leveraging a high-performance security data lake capable of sub-second queries on multi-terabyte datasets, the platform offers sophisticated security analytics for network flows.
This capability surpasses traditional security monitoring platforms, providing deep insights into network behavior from a security perspective.
Proactive Security Management
The system incorporates robust vulnerability management features through active security configuration checks and vulnerability identification.
This proactive approach helps customers identify and address potential security weaknesses before they can be exploited.
Streamlined Compliance Management
Offering key compliance management functionalities, the platform facilitates efficient management of compliance evidence.
This feature simplifies the process of meeting regulatory requirements and maintaining audit readiness across various compliance frameworks.
Cloud Security Posture Management
The system offers comprehensive Cloud Security Posture Management (CSPM) capabilities for major public cloud platforms, including Amazon Web Services (AWS), Microsoft Azure, and Google Cloud Platform (GCP). This feature provides in-depth security analysis at the account level, offering organizations valuable insights into their cloud infrastructure's security stance.
Multi-Cloud Coverage
-
Assesses security configurations across AWS, Azure, and GCP environments, providing a unified view of an organization's cloud security posture.
Account-Level Analysis
-
Performs detailed security assessments at the account level, ensuring thorough coverage of all cloud resources and configurations.
Compliance Checks
-
Evaluates cloud configurations against industry-standard best practices and compliance frameworks.
Automated Assessments
-
Conducts regular, automated scans of cloud environments to identify potential misconfigurations and security risks.
Detailed Reporting
-
Provides comprehensive security posture analysis reports, highlighting vulnerabilities, misconfigurations, and areas for improvement.
Remediation Guidance
-
Offers actionable recommendations to address identified security issues and enhance overall cloud security.
Continuous Monitoring
-
Ensures ongoing assessment of cloud environments to maintain and improve security postures over time.
By leveraging these advanced CSPM capabilities, organizations can significantly enhance their cloud security, ensure compliance with industry standards, and maintain a robust security posture across their multi-cloud environments.
GRC Assessment and Evidence Management
GRC : Governance, Risk & Compliance
The system offers comprehensive assessment reporting capabilities for key compliance audits and certifications, including ISO, PCI-DSS, and ISMS-P. This feature is designed to assist customers in ensuring adherence to various regulatory requirements.
Compliance Mapping and Reporting
-
Data Source Integration: Logs and data collected from various sources are systematically processed and analyzed.
-
Compliance Requirement Mapping: Each piece of collected data is mapped to specific requirements of different compliance standards.
-
Compliance Status Tracking: Provides real-time visibility into the organization's compliance posture across multiple frameworks.
-
Evidence Management: Automated mapping facilitates easy management and retrieval of compliance evidence.
This integrated approach to compliance reporting and evidence management significantly reduces the complexity and workload associated with maintaining multiple compliance certifications.
Network Flow Information Collection and Analysis
The platform collects, visualizes, and analyzes network flow information from various sources, including NetFlow/IPFIX from network switches and VPC flow logs from public cloud services. Network flow data is correlated with threat intelligence feeds to perform comprehensive analysis, enabling the detection of potential security incidents and unauthorized access attempts by external threat actors.
Multi-Source Flow Collection
-
Collects NetFlow and IPFIX data from network devices such as switches, routers, and firewalls.
-
Gathers VPC flow logs from major public cloud providers (AWS VPC Flow Logs, Azure NSG flow logs, GCP VPC flow logs).
-
Supports flow data collection from virtualized network infrastructures.
Data Visualization
-
Provides interactive dashboards to present network flow data in a customizable format.
-
Displays network traffic patterns, volume trends, and geo-mapping of network connections.
Advanced Analytics
-
Utilizes behavioral analysis to identify anomalies in network traffic patterns that may indicate security threats.
-
Conducts protocol analysis to gain insights into protocol usage and potential misuse.
-
Evaluates performance metrics to analyze network performance and utilization trends.
Threat Intelligence Integration
-
Real-time correlation of network flow data with up-to-date threat intelligence feeds.
-
Indicator matching to identify traffic involving known malicious IP addresses, domains, or networks.
-
Assigns risk scores to network connections based on threat intelligence data.
Security Incident Detection
-
Utilizes machine learning algorithms for anomaly detection in network traffic.
-
Flags unauthorized access attempts from external sources.
-
Monitors data exfiltration by detecting unusual outbound traffic patterns.
Comprehensive Reporting
-
Generates customizable reports on network activity, security incidents, and compliance status.
-
Provides tools for forensic analysis of security events.
-
Supports regulatory compliance with network traffic documentation.
By combining robust network flow collection with advanced analytics and threat intelligence integration, this platform empowers organizations to maintain a strong security posture, quickly detect potential threats, and gain deep insights into their network activities across both on-premises and cloud environments.
Security Configuration Assessment
The system offers a comprehensive Security Configuration Assessment feature that evaluates the security settings of registered customer assets. This functionality ensures adherence to industry best practices and company security policies.
Automated Configuration Checks
-
Performs regular, automated scans of host systems to assess their security configurations.
-
Evaluates a wide range of security settings, including operating system parameters, application configurations, and network settings.
Compliance Verification
-
Compares current system configurations against predefined security benchmarks and standards.
-
Identifies deviations from recommended security practices and company-specific policies.
Customizable Rule Sets
-
Allows for the creation and modification of assessment rules to align with specific organizational requirements.
-
Supports the implementation of industry-standard benchmarks as well as custom security policies.
Detailed Reporting
-
Generates comprehensive reports highlighting configuration issues and compliance status.
-
Provides actionable recommendations for remediation of identified security misconfigurations.
Continuous Monitoring
-
Offers real-time visibility into the security posture of assessed systems.
-
Enables quick detection and response to configuration changes that may impact security.
Integration Capabilities
-
Seamlessly integrates with other security tools and processes within the organization's infrastructure.
-
Facilitates a holistic approach to security management and compliance.
By leveraging this Security Configuration Assessment feature, organizations can maintain a robust security posture, ensure compliance with industry standards, and quickly identify and address potential vulnerabilities arising from misconfigurations.
Security Events Collection and Analysis
Agent-Based Log Collection
The platform leverages agent-based log collection capabilities, utilizing the Wazuh agent for comprehensive security event monitoring and analysis.
Supported Operating Systems
The Wazuh agent can be deployed on a wide range of operating systems, including:
-
Windows
-
Linux distributions
-
macOS
-
FreeBSD
-
OpenBSD
-
Solaris
For details on supported platforms, refer to the Official Wazuh Agent Documentation.
Flexible Log Collection
The platform offers versatile log collection options:
-
Ability to monitor various log file types and formats
-
Support for Windows event logs
-
Customizable log parsing and formatting
Configurable Log Sources
Administrators can configure the agent to collect logs from:
-
System logs
-
Application logs
-
Custom log files
-
Windows event channels
Advanced Features
-
Real-time log monitoring and analysis
-
File integrity monitoring
-
Command output collection
-
Centralized configuration management
Scalability
The agent-based approach allows for efficient log collection across large-scale environments, from individual endpoints to enterprise-wide deployments.
By leveraging the Wazuh agent's capabilities, the platform provides a robust foundation for comprehensive security event collection and analysis across diverse IT infrastructures.
Agentless Log Collection (Active Mode)
The platform actively collects logs from devices that do not support agent installation, such as network devices. It uses SSH to connect to devices and execute commands for log and status information retrieval.
Agentless Collection Method
The system utilizes Secure Shell (SSH) protocol to establish secure connections with target devices, enabling remote log and status information retrieval without on-device agents.
Supported Devices
This method is ideal for:
-
Network switches and routers
-
Firewalls
-
Load balancers
-
Other network appliances or devices with limited software installation capabilities
Collection Process
-
Secure Connection: The platform initiates an SSH connection to the target device.
-
Command Execution: Pre-configured or custom commands are executed on the device.
-
Data Retrieval: Log data or status information is collected based on command output.
Flexibility
-
Customizable Commands: Administrators can tailor the commands executed on each device type to collect specific logs or information.
-
Scheduled Collection: Log retrieval can be automated regularly to ensure up-to-date information.
This agentless approach significantly enhances the platform's ability to provide a holistic view of an organization's security posture, integrating both agent-supported and agentless devices.
Agentless Log Collection (Passive Mode)
The platform offers advanced log processing capabilities with a focus on syslog protocol integration. Its architecture is highly flexible and scalable, adapting to various log volume requirements.
Syslog Processing
The system efficiently handles logs transmitted via the syslog protocol, a widely used standard for system logging.
Flexible Ingestion Architecture
Depending on anticipated log volume, the platform can be configured with:
-
Multiple Remote Syslog Servers: For distributed log collection and processing.
-
Message Bus Systems: Integration with technologies like Kafka for high-throughput log streaming.
Scalable Design
The platform's architecture is tailored to match expected log volumes, ensuring optimal performance and resource utilization.
This approach enables efficient management of varying loads, from small-scale deployments to enterprise environments with massive log volumes.
Public Cloud Audit Logs Collection
The platform offers comprehensive audit and management log collection for major public cloud environments, including AWS, Google Cloud Platform (GCP), and Microsoft Azure. This integration allows organizations to centralize and analyze critical operational data from their multi-cloud infrastructures.
-
Multi-Cloud Coverage: Native support for major cloud providers ensures broad visibility across diverse cloud environments.
-
Audit and Management Focus: The platform collects security-critical audit and management logs for compliance and operational oversight.
-
Extensible Framework: Custom integrations can be developed for cloud services not natively supported.
-
Tailored Solutions: The platform adapts to unique organizational requirements, enabling additional integrations as needed.
By centralizing these critical logs, the platform enhances cloud governance, security monitoring, and compliance management across multi-cloud environments.
SaaS Audit Logs Collection
The platform supports log collection from various SaaS applications, providing multi-source log integration tailored to client needs.
-
Diverse SaaS Integration: Collect logs from multiple SaaS services, accommodating various application types and data formats.
-
Customizable Implementation: Integration is provided on a per-request basis to meet unique client requirements.
-
Flexible Log Collection: The system handles multiple log types and sources simultaneously for a comprehensive view of an organization’s SaaS ecosystem.
-
Scalable Solution: As new SaaS applications emerge, the platform can incorporate additional log sources as needed.
This flexible and extensible approach enables deeper insights into SaaS operations, enhanced security monitoring, and improved operational visibility across cloud-based services.
Topics to discuss [NDA]
LLM/SLM Integration
Anomaly Detection & MLOps
Automated Response
Federated Authentication
Vulnerability Management
Agent-Based Vulnerability Detection
The platform provides comprehensive vulnerability analysis based on operating system and package information collected from deployed agents.
Data Collection
-
Agents gather detailed information about the host's operating system, installed packages, and configurations.
-
This data is continuously collected and sent to the central platform for analysis.
Vulnerability Analysis
-
The collected information is correlated with up-to-date vulnerability databases.
-
The platform identifies potential vulnerabilities by comparing installed software versions against known vulnerabilities.
Real-Time Detection
-
Agents continuously monitor and report changes, enabling real-time detection of new vulnerabilities.
-
This allows for rapid identification of security risks introduced by system updates or new software installations.
Comprehensive Coverage
-
The agent-based approach enables deep scanning of endpoints, including those that may be difficult to assess with network-based scans.
-
It provides visibility into vulnerabilities across a diverse range of operating systems and software packages.
Efficient Processing
-
By leveraging agent-collected data, the platform performs vulnerability assessments more efficiently than traditional network-based scans.
-
This approach reduces network overhead and allows for more frequent vulnerability checks.
By utilizing this agent-based vulnerability detection method, the platform offers organizations a powerful tool for maintaining a robust security posture and quickly identifying potential threats.
SBOM (Software Bill of Materials) Analysis
The platform provides advanced SBOM analysis capabilities, leveraging agent-based systems to generate and analyze comprehensive software component inventories.
SBOM Generation
-
File System Scanning: Agents perform thorough scans of file systems to identify and catalog software components.
-
Container Image Analysis: The system examines container images to extract detailed component information.
-
CycloneDX Format: SBOMs are generated in the industry-standard CycloneDX format, ensuring compatibility and ease of integration.
Vulnerability Identification
-
Component Analysis: Each identified software component is scrutinized for known vulnerabilities.
-
Continuous Monitoring: The system regularly updates its vulnerability database to provide current security insights.
-
Risk Assessment: Vulnerabilities are prioritized based on severity and potential impact.
Comprehensive Reporting
-
Detailed Inventories: Customers receive comprehensive lists of all software components in their systems.
-
Vulnerability Reports: The platform provides detailed reports on identified vulnerabilities associated with SBOM components.
-
Actionable Insights: Reports include recommendations for remediation and risk mitigation.
Integration and Automation
-
CI/CD Pipeline Integration: SBOM generation and analysis can be integrated into continuous integration and deployment (CI/CD) processes.
-
Automated Alerts: The system can be configured to send alerts when critical vulnerabilities are detected in SBOM components.
By utilizing SBOM analysis, customers gain deep visibility into their software supply chain, proactively identify security risks, and maintain a robust security posture across their IT infrastructure.
Remote Vulnerability Analysis
The platform offers comprehensive remote vulnerability analysis, focusing on two key areas:
Public IP Asset Discovery
The system performs thorough scans of customer public IP ranges to identify exposed assets.
-
Utilizes advanced IP range detection techniques to accurately determine the customer's public IP address blocks.
-
Employs network scanning tools to discover active hosts and services within these IP ranges.
-
Identifies and catalogs internet-facing assets such as web servers, databases, and other network services.
-
Provides a detailed inventory of exposed assets, including IP addresses, hostnames, and open ports.
Automated HTTPS URL Vulnerability Assessment
The platform conducts automated security scans on HTTPS URLs to detect vulnerabilities.
-
Comprehensive web application vulnerability scans on discovered HTTPS endpoints.
-
Utilizes a combination of passive and active scanning techniques to minimize impact on target systems.
-
Assess SSL/TLS configurations for potential weaknesses.
-
Checks for common misconfigurations in web servers and application frameworks.
-
Generates detailed reports highlighting discovered vulnerabilities, severity levels, and recommended remediation steps.
This approach enables organizations to proactively identify and address security weaknesses in their internet-facing infrastructure, significantly enhancing their overall security posture.
06. SmartWAN Portal
This is a guide for users to use the security operating center portal of OpenSASE/XDR.
Authentication
SmartWAN Portal Login
When you access the SmartWAN Portal, you will encounter the login screen as shown in the image below. This screen allows users to authenticate and access the portal's features.
- Email Address or ID: A field where users enter their registered email address or ID (e.g., "Enter your registered email address or ID").
- Password: A field for entering the user’s password (e.g., "Enter your password"), with a visibility toggle icon to show or hide the password.
Additional Authentication Options
- Top-right corner of the screen.
By clicking the "⋮" (three dots) icon in the top-right corner, users can access a detailed menu related to user authentication. This menu provides additional options for managing login settings or troubleshooting access issues.
- Verify Registered Email Address or ID: Allows users to verify their registered email address or ID to ensure they are using the correct credentials for login.
- Reset Password: Provides an option for users to reset their password if they have forgotten it or need to update it for security reasons.
- Request an Account: Enables new users to request an account if they do not already have one, initiating the account creation process.
Some features described above are currently in the prototype stage and are scheduled for future implementation.
Verification Registered Email Address of ID
- QR Code: A QR code is displayed for users to scan with a device that has a registered PassKey, enabling secure verification.
- Verify with Phone Number Button: An alternative "Verify with Phone Number" button is provided for users whose devices do not have a registered PassKey.
ResetPassword
- QR Code: A QR code is displayed for users to scan with a device that has a registered PassKey, enabling secure verification prior to password reset.
- Verify with Phone Number Button: An alternative "Verify with Phone Number" button is provided for users whose devices do not have a registered PassKey.
Request an Account
After selecting the "Request an Account" option from the "Additional Login Services Menu" on the SmartWAN Portal, users are directed to the following screen to verify their identity before resetting their password.
PassKey Verification:
- QR Code: A QR code is displayed for users to scan with a device that has a registered PassKey, enabling secure verification prior to request an account.
Alternative Option:
- Verify with Phone Number Button: An alternative "Verify with Phone Number" button is provided for users whose devices do not have a registered PassKey.
- PassKey-verified phone number: Displays a pre-filled, non-editable phone number associated with the PassKey.
- Email Address: A field to enter the user’s email address (e.g., "markov01@markov.com"), with a "Check Availability" button to verify if the email is available (status: "Email address is available for use").
- User Name: A field to enter the user’s name
User Information and Notifications
Real-time Alerts
If any alerts need to be provided to the user, an alert message will be displayed on the left side of the screen in real time.
Assigned Case Notification
Logout
You can log out by clicking the log-out button in the user information.
Dashboard
Getting Started
Logging In with an Accessible User Account
To begin, log in using a user account with access privileges.
You can find more options for user authentication.
This guide is based on SKT’s SmartWAN Portal. Updates will be continuously applied to reflect future changes.
Pre-Configured Dashboards
Currently, the dashboards are configured for the monitoring purposes of SKT’s agency SmartWAN system.
Event Dashboard (under development)
- Purpose: Provides a centralized view of security and network event data, enabling users to monitor and manage incidents effectively.
- Data Sources: Integrates information from multiple origins, including agents, agentless systems, and external feeds.
- Key Information: Displays summaries of event counts, severity levels, and current statuses to facilitate quick decision-making.
Agency Dashboard
- Agency monitoring
- System monitoring
Agency monitoring
Map View
Event levels are defined by SKT's requirements.
Agency List
When a specific region is selected in the Map View, the dashboard displays a list of agencies registered in that region, along with detailed information on the Network Status (CPE) and Security Status (SDP) for each agency.
- Agency List: A comprehensive roster of agencies within the selected region.
- Network Status (CPE): Provides the current operational status of the Customer Premises Equipment for eacßh agency.
- Security Status (SDP): Details the security posture, including Software-Defined Perimeter (SDP) metrics, for each agency.
View details of the agency
To access an agency's detailed information:
-
Go to the Agency List in the dashboard
-
Click the desired agency name
-
The system will load the detailed agency view
Network View
This view provides a granular view of both network performance and security status for the selected agency. Users can toggle between Network View and Security View to access specific metrics.
The dashboard is divided into two main tabs:
-
Network View: Displays real-time CPE status and network performance.
-
Security View: Shows security-related alerts and SDP metrics (if applicable).
Displays hardware and connectivity details:
-
CPE ID/Name/Model: Identifies the device.
-
High Availability: Indicates redundancy status ( Enabled / Disabled).
-
CPE Status:
-
Active: Normal operation.
-
Degraded: Performance issues detected.
-
Inactive: Connection lost.
-
-
Connected Data Centers: Primary (Seoul) and Secondary (Daejeon) links.
Network Performance Metrics data(Live) for troubleshooting:
-
CPU/RAM/Disk: Resource usage (% or GB).
-
Latency/Jitter: Measured in milliseconds (ms).
-
Packet Loss (TX/RX): Percentage of lost data packets.
Lists recent events with types and levels:
| Column | Description | Example |
|---|---|---|
| Type | Event category (Network/Security). | Network |
| Event | Description of the issue. | CPE ETH0 Link Down |
| Level | Severity: Info, High, Critical. |
Critical |
| Time | Timestamp (HH:MM:SS.milliseconds). | 16:13:31.00256 |
Security View
This view provides comprehensive monitoring and management capabilities for the selected agency, displaying real-time network status, user information, security events, and service connectivity. The interface is divided into multiple sections for efficient administration.
User Management Section
- User List
-
Displays all registered users (currently 3 users) with:
-
ID: Unique user identifier (e.g.,
mskimos3) -
Name: Full name of the user (e.g.,
Minsco.ftm) -
Email: Associated email address (e.g.,
mskim.ios8@tworld.com) -
Lock Status: 💬 indicates an active session (no lock applied).
-
-
- User Detail
-
Expands on selected user profiles with:
-
Department/Role: Organizational hierarchy (e.g.,
Solution Development > Developer). -
Contact: Email (
tworld_win@tworld.com) and phone (010-5587-1154). -
Device List: Managed devices linked to the user (e.g.,
SDP Routerwith OS details).
-
-
Agency Policy & Configuration
- Connected CPE
-
Hardware details of the Customer Premises Equipment:
-
CPE ID/IP: Unique identifiers for the network device.
-
CPE Name: Label for easy recognition.
-
-
- Mandatory Processes
-
Critical processes are monitored by type, name, and operating system.
-
Security Monitoring
- Security Events Table
-
Lists real-time security incidents with:
-
Type/Name: Event description (e.g.,
Blocked access to ransomware sites). -
Level: Severity (
Critical,High). -
Time: Precise timestamp (e.g.,
16:13:01.0025).
-
-
- Example Events:
-
Critical: Ransomware detection, essential process violations. -
High: Blocked access to malicious domains, outdated OS alerts.
-
Agency Groups
The Agency Group section provides a summary of agency counts per region and detailed status information for CPE.
- Region-Based Counts: Displays the total number of agencies in each region.
- CPE Status Info: Offers insights into the operational status of CPE devices across the agencies
Event List
- Type: Indicates the category of the event (e.g., sdp-audit, Security).
- Event Name: Specifies the event description (e.g., NdpPerformance, Hardware State Check, ProcessCheck, or security-related messages like [JAMES] Blocked access to www…).
- Level: Denotes the severity of the event, categorized as Info, Minor, or Critical, Block.
- Time: Shows the timestamp of the event in the format MM/DD HH:MM:SS.milliseconds (e.g., 03/30 16:13:00.025).
- sdp-audit events such as NdpPerformance and Hardware State Check with Info level.
- Security events like [JAMES] Access blocked: Rans… with Critical level or [JAMES] Android OS version is to… with High level.
System monitoring
SecureEdge point of presence
It shows SecureEdge's distributed architecture. The visual indicators show system statuses, and on the bottom, highlight critical/security events of the agency.
This monitoring supports SKT's internal operations only, providing real-time monitoring of their SecureEdge deployment through redundant controllers and gateways at each location.
Agency List
It's the same as the agency list in Agency Monitoring.
Events List
It's the same as the events list in Agency Monitoring.
Risk Scoring (under development)
This dashboard provides a consolidated view of network security compliance, threat protection status, and regulatory adherence for monitoring and reporting purposes.
The current visualization serves as a prototype. We will develop optimized data representation formats aligned with operational objectives during the implementation phase.
Detection & Response
Cases
The user can access the cases menu, which is under Detection & Response.
Case List
Key Features
- Filters and Search:
- Customer and Asset Selection: Dropdown menus at the top (e.g., "Select a customer," "Select an asset") to filter cases by specific customers or assets.
- Date Range: A date picker to filter cases within a specific time period (e.g., 2024/09/30 - 2024/10/30).
- Advanced Search: A button on the right to access advanced search options for more granular filtering.
- Case Summary:
- Displays the total number of cases (e.g., 279 cases) and the total results (e.g., 2,193 cases) for the selected filters.
- Case Table:
- A table listing cases with columns such as:
- Event Type: Type of event (e.g., Raw Packet).
- Source Asset: Source of the event.
- Destination Asset: Destination of the event.
- Rule: Applied rule.
- Source IP: Source IP address.
- Destination Port: Destination port.
- Time: Timestamp of the event.
- Raw Packet: A column with a clickable icon to view raw packet details (e.g., BSX525D9252F...).
- A table listing cases with columns such as:
- Notification Settings:
- A "Notification Settings" button at the top-right corner to configure alert preferences.
The items provided in the Case List may be modified in the future based on evolving requirements.
Case Filtering
- Dropdown Menu: Displays a list of available customers (e.g., SK Telecom, Samsung Electronics, KT&G, Ericsson, Coca Cola, General Electric, BMW).
- Action: Click the "Select a customer" dropdown to choose a customer, filtering the case list to show only cases related to the selected customer.
- Each customer is represented, indicating secure separation of data in the multi-tenant environment.
- The associated assets for the selected customer are displayed.
Case Details
- Case Information: The default tab, showing detailed case data.
- Case Management: A secondary tab for managing the case.
Case Information
- Event Type: The type of event
- Asset Type: The type of asset involved
- Asset No.: The asset identifier
- Timestamp: The date and time of the event
- System IP: The system IP address
- Origin Country: The country of origin
- Origin IP: The originating IP address
- Origin Port: The originating port
- Destination Country: The destination country
- Destination IP: The destination IP address (
- Destination Port: The destination port
- Remote IP: The remote IP address
Case Management
Case Management Procedure Table
| Step | Procedure | Description |
|---|---|---|
| 1 | Case Open | Initiates the case and assigns it to a user. |
| 2 | Initial Investigation | Conducts preliminary analysis of the incident. |
| 3 | Prioritization | Assigns a priority level to the case. |
| 4 | Analysis and Response | Performs detailed analysis and responds to the incident. |
| 5 | Containment and Mitigation | Implements measures to contain and mitigate the issue. |
| 6 | Recovery and Remediation | Restores systems and applies fixes to prevent recurrence. |
| 7 | Case Closure | Closes the case after resolution. |
| 8 | Post-Incident Review | Reviews the incident for lessons learned. |
Step 1. Case Open
- Assignee: The user assigned to handle the case (e.g., Bryan Ga).
- Event Type: The type of event (e.g., Traffic).
- Asset Type: The type of asset involved (e.g., Juniper).
- Asset No.: The asset identifier (e.g., 38697).
- Timestamp: The date and time the event occurred (e.g., 2024-09-30 10:57:59+09:00).
- System IP: The system IP address (e.g., 1.1.1.1).
- Severity Level: The severity of the case (e.g., Critical).
- Threat Classification: The threat level or classification (e.g., 9)
Step 2. Initial Investigation
- Evaluate the Case: Users are prompted to "Evaluate the case details and associated events to verify if it’s a legitimate threat incident and handle it accordingly."
- Event Information Access: Users can find detailed event information for the open case and related events in the "Case Information" tab of the Case Details popup.
- Check for Positive: Users must determine the legitimacy of the threat by selecting one of two options:
- Confirmed as True Positive: Indicates the incident is a confirmed threat.
- Confirmed as False Positive: Indicates the incident is not a threat (e.g., a false alarm).
- After completing the evaluation and selecting the appropriate "Check for Positive" option, users click the "Save Step" button to record their findings and proceed to the next step in the Case Management process.
Step 3. Prioritization
- Priority Evaluation: Users are informed that "Priority is evaluated based on the severity and impact of the event."
- Severity Level Selection: Users can select the severity level of the case from the following options:
- Critical: For incidents with severe impact requiring immediate action.
- High: For incidents with significant impact needing prompt attention.
- Moderate: For incidents with moderate impact that can be addressed in a standard timeframe.
- Low: For incidents with minimal impact that can be handled with lower urgency.
- After selecting the appropriate severity level (e.g., Critical, High, Moderate, or Low), users click the "Save Step" button to record the prioritization and proceed to the next step in the Case Management process.
Step 4. Analysis and Response
- Analyze the Threat: Users are prompted to "Analyze the root cause of the threat and identify the affected assets and scope."
- Further Analysis: If needed, users are advised to "conduct further analysis on related logs and events" to gain deeper insights into the incident.
- Document Findings: Users are required to "describe the analysis details thoroughly in the text-area below for reporting purposes." A text editor is provided to input detailed notes, with formatting options such as bold, italic, underline, alignment, lists, links, images, and emojis.
- Users enter their analysis details in the text area.
- After completing the analysis and documenting the findings, users click the "Save Step" button to record their work and proceed to the next step in the Case Management process.
Step 5. Containment and Mitigation
- Containment Measures: Users are advised to "perform containment measures or isolate network segments to minimize impact" if the attack is ongoing.
- Isolation and Blocking: Users are instructed to "temporarily isolate affected systems or apply security policies to block the attack, if needed."
- Document Actions: Users are required to "describe the analysis details thoroughly in the text-area below for reporting purposes." A text editor is provided to input detailed notes, with formatting options such as bold, italic, underline, alignment, lists, links, images, and emojis.
- Users document the containment and mitigation actions taken in the text area.
- After completing the actions and documenting the details, users click the "Save Step" button to record their work and proceed to the next step in the Case Management process.
Step 6. Recovery and Remediation
- Resolve and Restore: Users are instructed to "resolve the root cause and restore systems or networks to their normal operational state."
- Apply Security Measures: Users are advised to "apply security patches and remove malware from infected assets" to secure the environment.
- Document Actions: Users are required to "describe the analysis details thoroughly in the text-area below for reporting purposes." A text editor is provided to input detailed notes, with formatting options such as bold, italic, underline, alignment, lists, links, images, and emojis.
- Users document the recovery and remediation actions taken in the text area.
- After completing the actions and documenting the details, users click the "Save Step" button to record their work and proceed to the next step in the Case Management process.
Step 7. Case Closure
- Update Case Status: Users are instructed to "refer to the case status and use the button below to update it to ‘Closed’" once processing is complete.
- Prepare for Next Stage: Users are informed that "during the next stage, you will be able to document the response process and outcomes, and generate the final report."
- Document Details: Users are required to "describe the analysis details thoroughly in the text-area below for reporting purposes." A text editor is provided to input detailed notes, with formatting options such as bold, italic, underline, alignment, lists, links, images, and emojis.
- Users document the final details of the case resolution in the text area.
- After documenting the details, users click the "Closed" button to officially close the case and proceed to the final step in the Case Management process.
Step 8. Post-Incident Review
- Summarize Lessons Learned: Users are instructed to "summarize lessons learned from the response process and strengthen future security measures to better handle similar threats."
- Generate Final Report: Users are advised to "document the response and outcomes, click the ‘Generate Report’ button below and complete the final report."
- Document Details: Users are required to "describe the analysis details thoroughly in the text-area below for reporting purposes." A text editor is provided to input detailed notes, with formatting options such as bold, italic, underline, alignment, lists, links, images, and emojis.
- Users document the lessons learned and post-incident analysis in the text area.
- After documenting the details, users click the "Generate Report" button to compile the final report, concluding the Case Management process.
Report Generation
Notification Setting
Subscription Information
- Title: A text field to enter a custom title for the alert subscription.
- Type: Checkboxes to select the type of notifications:
- Notify on case opening: Sends an alert when a new case is created.
- Notify on case progress: Sends an alert when a case’s status is updated.
- Severity Level: Radio buttons to select the severity level of cases to be notified about.
- Assignee: Displays a list of users assigned to receive alerts, including:
- Name: The assignee’s name (e.g., Bryan Ga, Timo Choi, Jay Cho, Leonardo DiCaprio).
- Assigned Role: The role of the assignee (e.g., Administrator, Customer, Engineer).
- Email Address: The assignee’s email (e.g., markov01@markov.com).
- Actions: Options to "Change Assignee" (reassign to another user) or "Remove Entry" (delete the assignee from the list).
- Recipient: Displays a list of additional recipients for alerts, with similar details and actions as the Assignee section.
- Add to Entry: A button to add new assignees or recipients to the subscription list.
- Additional fields can be defined by users.
Subscription Note
Real-Time New Case Alert
Home Screen
Some features described below are currently in the prototype stage and are scheduled for future implementation.
Widgets
1. Traffic Widget
- Description: Displays real-time network traffic data over a selected time period (e.g., last 24 hours). The graph shows RX (receive) and TX (transmit) traffic in Mbps, with peaks and trends.
2. Site Overview
- Description: Shows a summary of the status sites.
3. Top5
- Description: Displays the top 5 sites ranked by network traffic
4. Case
- Description: Lists critical cases and their affected objects, and provides on pending critical cases
5. World Map(Map view)
- Description: Provides a global map view of locations, with lines indicating connectivity between sites (e.g., Munich, New York, San Francisco, Sao Paulo, Sydney).
6. Threat case trends
- Description: A line graph showing trends in threat cases over time. Categories include Critical, High, Medium, and Low, with data points indicating case counts.
7. Today's Case Distribution
- Description: A scatter plot visualizing the distribution of cases by severity (Critical, High, Medium, Low) over a 24-hour period. Each bubble represents a case, with size indicating the number of incidents (e.g., Critical: 207 cases).
8. Today's Case Summary
- Description: A pie chart summarizing the total cases for the day.
9. Case
- Description: A table shows that case-affected objects.
10. Network Summary Metrics
-
Topology:
- Total Topologies: Displays the total number of network topologies (e.g., 1).
- Total Intranet Hosts: Shows the total number of intranet hosts connected (e.g., 342).
- Total WAN: Indicates the total number of Wide Area Network (WAN) connections (e.g., 124).
- Total Bandwidth: Displays the total bandwidth capacity for both download (↓) and upload (↑) in Mbps (e.g., 16,000 Mbps for both).
- Subscription Bandwidth: Shows the subscribed bandwidth for both download (↓) and upload (↑) in Mbps (e.g., 16,000 Mbps for both).
- Total SmartWAN Policies: Lists the total number of SmartWAN policies in place (e.g., 31).
- Total SmartWAN Policies (Subscription): Indicates the number of subscribed SmartWAN policies (e.g., 237).
The widgets provided on the dashboard may be modified in the future based on evolving requirements.
Map Submenu
After logging in to the SmartWAN Portal, the Home screen displays the world map by default, featuring a world map in the "Map View." On the right side of the map, users can access additional options through the Map Submenu.
Filtering Sites by Country and Region
- Select Country & Region:
- Country: A dropdown menu to select a country (e.g., South Korea, USA, China, Germany, Japan).
- Region: A dropdown menu to select a region within the chosen country (e.g., USA > California).
- Site List:
- After applying the country and region filters, a list of sites within the selected area is displayed.
- The list includes columns such as:
- Site: Name of the site (e.g., Head Office, New York Branch).
- RX/TX (Mbps): Network traffic data for receive (RX) and transmit (TX) in Mbps.
- Critical Cases: Number of critical cases associated with the site.
- All Cases: Total number of cases for the site.
Overview
SmartWAN Portal
Report
Event Report
The Event Report menu can be found in the Report section of the left sidebar.
Event Report List
Event Report Details
Report Sections (Tabs) Table
| Tab Number | Section Name | Description |
|---|---|---|
| I | Overview | Provides a summary of the report, including title, ID, reporter, date, and analysis period. |
| II | Statistics | Displays statistical data related to the case, such as event counts and asset details. |
| III | Analysis | Details the analysis of the case, including root cause and impact assessment. |
| IV | Remediation | Outlines the remediation steps taken to resolve the incident. |
| V | Conclusion | Summarizes the outcomes and conclusions of the case response. |
| VI | Recommendations | Offers recommendations to prevent similar cases in the future. |
I. OverView
The Event Report Detail Screen under the "Overview" tab (I) includes the following items, each serving a specific purpose:
- Report Title: Indicates the main subject or focus of the report, providing a clear identifier for the incident or analysis.
- Report ID: A unique identifier assigned to the report for tracking and reference purposes within the system.
- Reported By: Identifies the user who generated the report, including their contact information for accountability and follow-up.
- Report Date: Specifies the date and time when the report was finalized, helping to establish a timeline for the incident response.
- Analysis Period: Defines the time range during which the incident was analyzed, providing context for the duration of the event and response efforts.
- Distribution Target: Lists the individuals, teams, or roles to whom the report is distributed, ensuring relevant stakeholders are informed.
- Summary: Offers a high-level overview of the incident, including key findings, the nature of the threat, and its impact, to provide a quick understanding of the situation.
- Related Elements: Presents statistical data in visual form (e.g., pie charts) to show the distribution of events by severity and the types of assets affected, aiding in understanding the scope and impact of the incident.
II. Statistics
This image displays a partial section of the complete report.
Statistics Report Summary
| Section | Purpose | Key Details |
|---|---|---|
| Threat Case Classification | Prioritizes security cases based on severity and urgency. | - Severity: Measures threat danger (Low/High). - Urgency: Measures response time needed (Low/High). - Matrix: Combines both (e.g., High Severity + High Urgency = Critical). |
| Distribution of Related Events | Visualizes how related security events spread across time/systems. | - Tracks event frequency and patterns. - Aids in identifying attack scope and hotspots. |
| List of Related Events | Groups events with shared attributes to uncover attack sequences. | Grouping Criteria: - Common Indicators: Shared IPs, users, devices. - Time Correlation: Events in close proximity. - Attack Patterns: Matches MITRE ATT&CK tactics. - Behavior Analysis: Suspicious chains (e.g., file execution → external connection). - Threat Intelligence: Matches known IOCs. |
Threat Case Classification Matrix
| Severity \ Urgency | Low Urgency | High Urgency |
|---|---|---|
| Low Severity | Minor threat; resolve later. | Less critical but needs prompt handling. |
| High Severity | Serious threat; no immediate action. | Critical; requires immediate response. |
Key Takeaways
-
Prioritization: Clear severity/urgency tiers streamline incident response.
-
Pattern Analysis: Distribution and event grouping reveal attack trends.
-
Correlation: Multi-criteria linking (time, behavior, IOCs) enhances threat detection.
III. Analysis
The Analysis tab (III) in the Event Report Detail Screen of the SmartWAN Portal provides in-depth threat pattern analysis, response effectiveness, and correlations between threat factors.
This image displays a partial section of the complete report.
Threat in Similar Case Occurrences and Responses
| Section | Purpose | Key Details |
|---|---|---|
| Threat in Similar Case Occurrences | Analyzes the frequency and severity of past security threats over a specified period. | - Tracks threat patterns (e.g., monthly trends). - Visualizes data to identify critical/high-risk periods. |
| Threat in Similar Case Responses | Evaluates the effectiveness of organizational responses to past threats. | - Assesses response strategies (e.g., speed, methods). - Identifies areas for improvement. |
Threat Factor Correlation Analysis
| Section | Purpose | Key Details |
|---|---|---|
| Threat Level Distribution of Related Factors | Maps the severity levels (Critical/High/Moderate/Low) of linked threat factors. | - Highlights high-risk elements (e.g., IPs, users). - Aids in prioritizing response actions. |
| Probability Distribution of Risk Levels | Quantifies the likelihood of each risk level occurring among correlated factors. | - Uses statistical analysis (e.g., "60% Moderate risk"). - Supports predictive threat assessment. |
Correlation Rules: Time-based or entity-based logic is applied to detect complex attack patterns.
Threat Scores: Calculated based on severity, context, and threat intelligence to guide decision-making.
IV. Remediation
Remediation tab (IV) in the Event Report Detail Screen of the SmartWAN Portal provides threat mitigation actions, including detection, containment, recovery, and preventive measures for resolved security cases.
Remediation Report Section
| Section | Purpose | Explanation |
|---|---|---|
| Detection of Malicious Traffic | Identify and analyze suspicious network activities | Uses SIEM/IDS to detect anomalies like port scanning or unusual connections. |
| Multiple Failed Login Attempts | Prevent brute-force attacks and unauthorized access | Monitors repeated login failures, locks accounts, blocks suspicious IPs, and enforces stronger authentication (e.g., MFA). |
| Detection of Abnormal File Access | Protect sensitive data from unauthorized access or exfiltration | Alerts on unusual file access patterns (e.g., mass downloads). Includes user verification and role-based access reviews. |
| Execution of Unauthorized Applications | Block potentially harmful software execution | Detects unapproved apps (e.g., TeamViewer), terminates processes, and enforces app control policies (e.g., allowlisting). |
V. Conclusion
The Conclusion tab (V) in the Event Report Detail Screen of the SmartWAN Portal provides a synthesis of key findings about cases and indicators of attack.
Section Overview
| Section | Purpose | Explanation |
|---|---|---|
| Conclusion | To synthesize key findings about cases. | Provides a high-level analysis of similarities in attack methods (e.g., code reuse, C2 communication) to link incidents to known threat actors or campaigns. Helps analysts identify operational patterns. |
| Indicator of Attack | To map observed tactics to standardized frameworks for threat categorization and response planning. | Aligns attack techniques (e.g., spearphishing, steganography) with MITRE ATT&CK tactics (e.g., T1566.001). Enables defenders to prioritize mitigations based on proven threat models. |
VI. Recommendations
A sample PDF file of the Event Report described in this guide is available for download. You can access the full report, including all sections (Overview, Statistics, Analysis, Remediation, Conclusion, and Recommendations).
Sample PDF download: ANRN-00936.pdf (APPEX Networks user only)